哈囉大家!最近幾年「Vibe Coding」超紅,大家是不是也越來越享受那種「我出嘴、AI 出手」,劈哩啪啦就把一個網站或工具給生出來的爽快感?
口哨吹著吹著,前幾天我就被現實賞了一巴掌。
我經歷了一場差點讓我跟所有程式碼永遠說掰掰的數位慘劇——帳號被自己的 2FA 鎖死,而且備份金鑰早就不知道去哪流浪了。焦慮地對著螢幕枯坐了好幾個小時,那種無力感,比 Debug 找不到 Bug 還痛。
這篇就是那幾小時焦慮換來的血淚教訓。如果你也是「寫 Code 靠 Vibe、帳號安全靠祖先保佑」的同路人,請花 3 分鐘把它看完。我保證,這三分鐘會是你今天最值回票價的投資。
😱 先搞清楚:2FA 是什麼,它又是怎麼把我鎖在門外的?
先用大白話解釋:2FA(雙重驗證) 就是登入時除了密碼,系統還會要你打開手機 App,輸入一組每 30 秒就自動換一次的 6 位數字。密碼 + 動態碼,缺一不可。
聽起來超安全對吧?對,它確實超安全——安全到連帳號本人都可能進不去。
我的故事是這樣的:我換了手機,舊手機上的驗證 App 沒有雲端同步,資料就這樣人間蒸發。偏偏當初 GitHub 叫我下載的那份 recovery-code.txt(官方認可的「後門鑰匙」),也早被我在某次「清理下載資料夾」的勤勞行動中光榮刪除。
結果就是:密碼輸入完全正確,但 GitHub 就是不讓我進門。
這種感覺就像——你家裝了全世界最堅固的保險鎖,但你把備用鑰匙鎖在保險箱裡,然後把保險箱密碼忘了。更慘的是,連鎖匠(GitHub 客服)在確認完你的身份之前,也無能為力。
夠慘了吧?好,現在讓我們來設定「這輩子再也不會被鎖在門外」的防呆機制。
🛠️ 防呆第一步:不要把雞蛋放在同一個 App(多設幾條退路)
很多人以為 2FA 只能綁一支手機的 Authenticator App,這是最大的誤解。GitHub 其實讓你同時設定多種驗證方式,多一條退路,就少一次崩潰的機會。
1. 把沒有備份功能的 App 換掉
如果你現在還在用 Google Authenticator(舊版),請注意:它早期的版本不會自動雲端同步,一旦手機遺失或重置,裡面的驗證設定就跟著消失。
立刻換成 Microsoft Authenticator 或 Authy,這兩款都支援雲端備份,綁定帳號後,換新手機重新登入,所有驗證設定一鍵還原。就算手機掉進馬桶,你也不用跟著跳下去。
💡 補充建議: 不管用哪款 App,設定完之後,都去找一找它的「備份 / 匯出」功能,確認備份機制是真的有在運作,別等到用的時候才發現是空包彈。
2. 綁定生物辨識登入(Passkey)——這是你的最後一道防線
這是整篇文章我最想推給你用的功能,沒有之一。
現在 GitHub 支援 Passkey(通行密鑰),白話說就是:讓你用指紋或臉部辨識直接登入,不需要輸入任何動態碼。
設定方式:
- 進入 GitHub →
Settings→Password and authentication - 找到 Passkeys 區塊,點選新增
- 依照系統提示,綁定你的:
- Mac:Touch ID(指紋)
- Windows:Windows Hello(臉部辨識或指紋)
- 手機:iPhone Face ID / Android 指紋
設定完之後,下次登入只要手指在筆電上碰一下,或拿起手機讓它認個臉,驗證就通過了。再也不用慌慌張張搶在 30 秒倒數結束前把數字抄完。
💡 強烈建議: 把你的筆電和手機都各綁一個 Passkey。這樣萬一筆電壞了,拿起手機照樣能登入;手機不見了,筆電依然救得了你。兩個裝置互為備援,防呆效果加倍。
💾 防呆第二步:Recovery Codes 的正確存法(不是丟「下載」資料夾)
當你開啟 2FA 時,GitHub 會強迫你下載一份 recovery-code.txt,裡面有 16 組一次性緊急備用碼。這份文件的正式用途是:當你所有驗證方式都失效時,用這些備用碼來進入帳號。
問題是,絕大多數人的 SOP 是:下載 → 看都不看 → 丟著 → 某天清理電腦時一起刪掉。等到真正需要它的時候,才開始後悔。
以下推薦兩種「既有效、又真的不會弄丟」的存法:
方案 A:科技小白最安心——印出來夾進重要文件
- 怎麼做: 直接按
Ctrl+P(Mac 是Cmd+P)把那頁印出來。 - 怎麼存: 對折,放進你收身分證、護照或房屋契約的那個「重要文件夾」或保險箱裡。
- 為什麼有效: 電腦會壞、雲端會出事,但只要你家沒發生不可抗力,那個放重要文件的地方,你這輩子都不會無緣無故去清理它。
方案 B:現代人必備——存進密碼管理員(強力推薦)
如果連印出來都嫌麻煩,請下載 Bitwarden(免費)或 1Password 這類密碼管理員。
- 怎麼存: 找到 GitHub 那筆記錄,將 Recovery Codes 貼進「安全附註(Notes)」欄位,或者直接把
.txt檔上傳成附件。 - 為什麼有效: 密碼管理員只要記住一組「主密碼」,就能在任何裝置上存取所有資料。你等於把這把救命鑰匙,鎖進了一個你永遠找得到的宇宙級保險箱。
⚠️ 重要提醒:Recovery Codes 每組只能用一次! 一旦你真的用了其中一組緊急碼登入,請立刻去 GitHub 重新產生一組全新的 Recovery Codes,並且把舊的那份丟掉換成新的,否則用完就是零存糧。
✅ 立即行動清單(現在就做,5 分鐘搞定)
說再多都不如馬上動手。請打開你的 GitHub,把下面這幾件事做完:
- [ ] 換用有雲端備份的驗證 App(Microsoft Authenticator 或 Authy)
- [ ] 新增 Passkey,筆電和手機各綁一個
- [ ] 找到你的 Recovery Codes——不知道在哪?去
Settings→Password and authentication重新產生一組 - [ ] 把 Recovery Codes 印出來或存進密碼管理員
以上四件事,花不到 5 分鐘,卻能幫未來的你省下不知道幾小時的崩潰與自責。
💬 結語:Vibe 可以隨性,數位資產必須理性
用 AI 寫 Code 可以很浪漫,吹著口哨就把專案生出來,這種感覺真的很爽。但請記住,你靠著 Vibe 累積起來的那些 Repositories、那些 Commits、那些用時間堆疊出的作品,都是真真實實屬於你的資產。
別讓一個沒備份的驗證 App,或者一份被你刪掉的 .txt 檔,把這一切都鎖在門外。
現在就去做,你未來的自己會感謝你今天花了這 5 分鐘。
覺得有用的話,歡迎把這篇分享給你身邊那些「寫扣靠 Vibe、安全靠保佑」的朋友。救人一命,勝造七級浮屠! 🙏
