在当今的网安框架中，多因素认证（Multi-Factor Authentication, MFA）已经成为提升账号安全的金标准。再加上网站又有网络安全审查、实名认证的监管要求，于是很多网站强制账号绑定手机号，并启用手机验证码登录。

但是，我一直呼吁，强制要求账号和手机号绑定，是损害账号安全的。

今天终于出现一个现实中击破账号安全的例子。

根据九派新闻的报道，有网友使用新办理的手机号注册网易云音乐时，通过短信验证码直接登录了歌手李玟的账号。

登录后界面显示：账号名为“李玟”，拥有26.1万粉丝、2枚徽章。收件箱内有大量未读粉丝私信，内容多为近期（2025年9月-10月）的悼念留言，如“永远爱你”“Coco，回来好不好”等。

记者就此事咨询网易云音乐人工客服，对方表示，经核查，问题原因是团队为艺人账号绑定的手机号，被运营商二次放号所致。

一个人知道用户名密码，他不能直接登录；一个手机，它能登录。

这是所有权的异化。这个账号不再属于你，这个账号属于手机号，属于电信运营商了。

衡量网络安全和个人信息安全的维度，有两个维度，一个是技术性安全，一个是社会性安全。这两者是一个跷跷板，前者高了，后者就低。但是在行业里，人们过度关注技术性安全，而忽视了社会性安全。

技术性安全想象的是一个随机的黑客，他用随机的方式如何能攻破你的密码。在这种假设下，以下几种技术手段：

• 密码复杂度要求，比如说必须包含数字、大小写字母、符号，长度不低于8个字符；
• 定期更换密码，不能跟之前的密码类似；
• 多因素认证MFA；
• ……

很多人根本记不住这么多网站的密码。现在人们普遍有几十个账号，不同网站的密码长度要求，定期更换密码的周期不同。输入密码成为用户登录网站最大的挑战，要使用自己的账号，感觉想要高考一样，答对的才能过关。

你可以看网络上有多少人抱怨这个事情。密码太多、太复杂，记不住并频繁走找回流程，即便密码“正确”（用户记忆中的正确），仍被系统拒绝。我自己也经常发生：忘记密码-重设密码-新密码不能和旧密码一样的死循环。

结果呢？

我已经见过无数的人，会找一张纸，把各个网站的密码用明文记下来一个小本本里，甚至用便利贴贴在电脑屏幕边上。

我请问，把人逼成这样，真的提高了账号安全吗？

黑客都不用技术，只要找个阿姨拿到这张密码纸就好。

毫无社会性安全，都不用复杂的社会工程学攻击。

技术性安全和社会性安全就像统计学中的Type I Error误拒风险和Type II Error误受风险是跷跷板一样此消彼长。技术性安全给黑客提高的难度，也给用户提高了难度。用户为了平衡这个难度，就会在其他方面牺牲安全性。

而网安行业大佬们，好像从来没有从用户心智负担这个角度出发，考虑怎么避免让用户记不住密码。

当他们跟我说为了账号安全时，这个账号到底还属不属于我？