舊手機換新機後丟在抽屜裡、賣給二手回收商、送給家人——這些場景下舊手機裡的幣安 APP 還登著賬號,會不會有風險?這是 2026 年 4 月 babialab security 分類裡非常實用的一個問題。本文 4400 字給完整答案:舊裝置保留登入態有什麼風險、裝置管理頁(Device Management)的完整功能、4 步強制下線操作、Session Token 失效邏輯、iOS / Android / 網頁三個端的差異、裝置名識別誤區。如果你今晚就要清理舊裝置,建議先用 幣安賬戶登入入口 進入安全中心檢視活躍裝置列表,必要時從 官方 APP 下載頁 在新手機上重灌一份 APP(確保新裝置指紋被幣安識別),然後透過 官方安全中心入口 完成強制下線。本文不含圖,節選自 babialab 4 月 24 日整理的 38 例裝置清理工單。
舊手機不下線到底有什麼風險?
很多人覺得「舊手機我都不用了,裡面登著也無所謂」——這是個常見誤解。舊裝置保留登入態在三種場景下會出嚴重問題,babialab 4 月的 38 例工單都是這三類:
風險 1:舊手機被回收商二次售賣。你把舊手機賣給閒魚 / 轉轉 / 蘋果以舊換新 / 街邊二手店,對方拿到手後即使你做了「恢復出廠設定」,APP 資料有時候也沒被完全擦除(特別是某些低端 Android 裝置)。下家開啟手機就能看到你的幣安賬戶。
風險 2:被家人誤操作。你把舊手機給小孩當玩具或給老人當備用機,他們誤點 APP 裡的「轉賬」「確認」按鈕可能造成實際損失。babialab 38 例裡有 4 例是 6 歲以下小孩誤下單。
風險 3:Session Token 長期未重新整理被利用。幣安 APP 的會話憑證(Session Token)預設有效期長達 30 天甚至更久,如果舊手機連著 Wi-Fi 自動同步,這個 Token 一直有效。理論上有黑產工具能從手機裡讀出 Token 直接呼叫介面操作賬戶。
更廣義來說——你的賬戶安全等級是「最弱裝置」決定的。即使新手機有指紋 + Face ID + 強密碼,舊手機如果只有 4 位數字密碼或者乾脆沒鎖屏,整個賬戶的安全等級就是 4 位數字密碼的強度。
裝置管理頁的完整功能
幣安在「我 → 安全 → 裝置管理(Device Management)」裡提供了一個非常強大但被低估的工具。這個頁面會列出近 30 天所有登入過你賬戶的裝置,每條記錄包含:裝置型別(iOS / Android / 網頁 / 桌面客戶端)、裝置名(iPhone 14 Pro / Galaxy S23 這種型號)、瀏覽器(Chrome 124 / Safari 17)、登入 IP、登入城市、最後活躍時間。
裝置管理頁的核心功能有 4 個:第一,逐條移除指定裝置;第二,一鍵強制下線全部裝置;第三,檢視每個裝置的操作歷史(點開記錄可看該裝置做過的下單 / 提幣 / 修改設定);第四,「鎖定賬戶」按鈕,緊急情況下凍結所有交易和提幣 24 小時。
這個頁面 babialab 強烈建議每週開啟一次。30 天沒活躍過的舊裝置主動移除,這樣即使舊手機被人撿到也連不上你的賬戶。
4 步強制下線流程
第 1 步,登入幣安賬戶(用你日常使用的新手機或電腦),進入「我 → 安全」頁面。注意要從幣安官網或官方 APP 進入,不要點郵件連結。
第 2 步,點「裝置管理(Device Management)」,會看到一個表格列出所有活躍裝置。仔細對照——找出哪幾條是你不再用的舊裝置。如果你不確定哪條是哪臺,可以先看「裝置型別」篩選(比如 iPhone 12 那條肯定是你之前那臺 iPhone 12 而不是新的 iPhone 15)。
第 3 步,對每條要踢下線的裝置點右側「移除(Remove)」按鈕,幣安會彈 2FA 驗證(Google Authenticator 6 位動態碼),輸完即生效。如果你想一次性踢掉除當前裝置外的所有裝置,點頁面頂部「Sign out all other devices」按鈕,一次操作所有舊裝置全部失效。
第 4 步,驗證下線是否成功。開啟舊手機的幣安 APP(如果手邊還有)或者在瀏覽器登入舊裝置的曾用瀏覽器,應該會看到「Session expired, please login again」(會話過期請重新登入)的提示——這意味著該裝置的登入態已經被作廢,對方再用這個裝置得重新輸密碼 + 2FA 才能登入。
裝置管理頁的 30 天清理表
下面這張表是 babialab 推薦的裝置清理週期,按優先順序排:
| 裝置型別 | 建議保留時長 | 清理優先順序 |
|---|---|---|
| 已賣掉的舊手機 | 立即移除 | 最高 |
| 抽屜裡吃灰的舊手機 | 立即移除 | 最高 |
| 公司臨時用的筆記本 | 離職時移除 | 高 |
| 朋友家臨時登入的電腦 | 當天回家就移除 | 高 |
| 網咖 / 酒店登入記錄 | 24 小時內移除 | 高 |
| 備用手機 | 30 天沒用就移除 | 中 |
| 主用手機 + 主電腦 | 永久保留 | 低 |
| 上次出差用過的裝置 | 出差結束後 7 天 | 中 |
按這個清單清理後,你的裝置管理頁應該最多隻剩 2-4 條活躍記錄。如果列表裡超過 6 條,肯定有需要清理的舊裝置。
iOS / Android / 網頁三端的差異
不同裝置型別在裝置管理頁的顯示格式不一樣,知道這些差異能幫你快速識別哪條是哪臺:
iOS 裝置顯示格式:「iPhone 14 Pro Max - Binance APP 2.65.3 - iOS 18.2」。識別要點:型號精確到具體名字(不是泛指「Apple Phone」),APP 版本號細分,iOS 大版本號顯示。如果你只用 iPhone 15,列表裡出現 iPhone 14 那肯定是舊裝置。
Android 裝置顯示格式:「Samsung Galaxy S23 - Binance APP 2.65.3 - Android 14」或「Xiaomi Redmi Note 12 - Binance APP - Android 13」。識別要點:能看到品牌 + 具體型號 + Android 版本。某些品牌(OPPO / vivo)顯示的型號可能不那麼精確,但至少能看到品牌名。
網頁端顯示格式:「Web - Chrome 124 / Windows 11 - Beijing, China」。識別要點:瀏覽器型號 + 作業系統 + 城市。同一個瀏覽器升級大版本會顯示成不同記錄(Chrome 123 → Chrome 124 看起來像兩臺裝置但其實是同一臺),這種是正常的。
桌面客戶端:「Desktop App - Mac OS 14.4 - Apple M2」。幣安桌面客戶端不常用,列表裡如果有這種記錄但你沒裝過,立刻移除。
5 個常見的裝置名識別誤區
誤區 1:看到陌生裝置名就慌。某些路由器 / 瀏覽器特性會把裝置識別成奇怪的名字(比如「Linux x86_64 - Other」「Unknown - Generic Browser」),不一定是駭客——可能是你啟用了瀏覽器隱私模式或者用了某個奇怪擴充套件。先看 IP 和城市再判斷。
誤區 2:以為裝置名 100% 準確。裝置名是基於 User-Agent 字串解析的,可被偽造。某些隱私外掛(uBlock Origin、Privacy Badger)會把 User-Agent 改成通用字串,這時候裝置名會變成模糊的「Generic Mobile」。這種情況看 IP 和登入時間幫助識別。
誤區 3:一臺手機一個裝置記錄。實際上一臺手機如果同時用 APP + 網頁登入,會出現 2 條記錄;如果用了無痕模式登入又出現 1 條;如果換瀏覽器再 1 條。一臺手機出 4 條記錄是正常的。
誤區 4:以為「最後活躍 60 天前」的裝置無害。即使 60 天沒活躍,那個裝置的 Session Token 可能還有效。被人撿到舊手機的話,對方開啟 APP 不需要重新登入。所以只看活躍時間不夠,超過 30 天的全部主動移除。
誤區 5:把熟悉的城市當成本人。babialab 4 月有一例工單——使用者看到裝置管理頁有一條「Beijing - Chrome 124」就放心了,結果是駭客用 VPN 北京節點登入。光看城市不能完全確認是本人,要結合裝置型號和登入時間一起判斷。
強制下線後舊手機會怎樣?
強制下線(Sign Out / Remove Device)的實際行為是:幣安伺服器把那臺裝置的 Session Token 標記為失效。從這一刻起,舊手機上的幣安 APP 再調任何介面(哪怕只是重新整理餘額)都會得到「未授權」錯誤,然後跳轉到登入頁面。
這意味著:舊手機上儲存的密碼 / 郵箱 / 自動登入資訊全部作廢,對方拿到舊手機想用 APP,必須重新輸入完整賬號密碼 + 透過 2FA。如果對方沒有這些,APP 就是個空殼。
但 APP 內的本地快取(K 線歷史、收藏的交易對、APP 設定)不會被清除,這些不是敏感資訊。如果你擔心連這些都洩漏,需要在舊手機上手動解除安裝 APP 或恢復出廠設定。
二手手機交易前的完整清理清單
如果你準備把舊手機賣掉或送人,下面這 8 步清理能讓舊手機和你的所有金融賬戶徹底脫鉤:
第 1 步,幣安 APP 內手動退出登入(設定 → 退出登入),不要只是關 APP。第 2 步,到幣安網頁端「裝置管理」裡把該裝置移除(雙保險)。第 3 步,重置幣安 APP 的本地資料:iOS 直接解除安裝,Android「設定 → 應用 → 幣安 → 儲存 → 清除資料」。
第 4 步,對所有金融 APP 做相同處理(支付寶、微信、銀行 APP、其他交易所 APP)。第 5 步,檢查瀏覽器儲存的密碼(Safari / Chrome 自動填充),全部刪除。第 6 步,登出 iCloud / Google 賬戶(避免新主人繼續接收你的通知)。
第 7 步,恢復出廠設定(iOS:通用 → 傳輸或還原 iPhone;Android:系統 → 重置 → 抹掉所有資料)。第 8 步,恢復完成後再開機一次確認是空的、APP 都不在了,再交付下家。
這 8 步走完後,舊手機變成完全乾淨的裝置,沒有任何賬戶資訊殘留。
FAQ
Q1:忘了舊手機長什麼樣了,怎麼知道哪條記錄是它?
裝置管理頁可以按「最後活躍時間」倒序排,最近活躍的肯定是當前在用的裝置。把當前裝置和你能確認的裝置一一對應後,剩下的就是舊裝置。還有一招——按「IP 城市」篩選,如果某條記錄在你完全不去的城市出現,那很可能是舊手機被賣到了那個城市。
Q2:強制下線後舊手機能再登回來嗎?
可以,只要對方知道你的賬號密碼 + 2FA。強制下線只是失效了當前 Session Token,並不會禁用賬戶本身。如果你擔心舊手機的擁有者嘗試重新登入,最穩妥做法是同步改一次密碼,讓對方即使試也登不進。
Q3:iOS 上的 APP 解除安裝後再安裝,登入態還在嗎?
不在。iOS 解除安裝 APP 會一併刪除沙箱內所有資料,包括 Session Token、登入記錄、快取。重新安裝等於全新裝置,需要完整登入流程。Android 也是一樣行為(前提是清除了資料再解除安裝)。但要注意——某些雲備份(iCloud / Google Drive)會自動恢復 APP 資料,重新裝回來可能恢復出登入態。賣手機前關閉這種自動備份。
Q4:舊手機連著 Wi-Fi 在抽屜裡,會自動操作賬戶嗎?
不會自動操作。幣安 APP 在後臺只會做被動同步(推送通知、重新整理餘額快取),不會主動下單或提幣。但如果舊手機被惡意軟體感染(比如裝了某些灰產 APP),軟體可能偽裝成你操作賬戶。這就是為什麼舊手機要麼強制下線,要麼徹底關機收納。
Q5:賬戶裡同時活躍 10+ 裝置正常嗎?
不正常。普通使用者的活躍裝置數應該在 2-5 之間(一部主手機 + 一部備用手機 + 主電腦 + 平板)。如果裝置管理頁有 10 條以上記錄,要麼是你忘了清理,要麼有外人登入。babialab 建議裝置數控制在 5 以內,超過就清理。
Q6:移除裝置後會有郵件通知嗎?
會。每次移除裝置會觸發一封確認郵件「Device removed from your account」,郵件裡帶防釣魚碼(如果你設過)。如果你沒操作但收到這種郵件,意味著別人在登入你賬戶做裝置清理(可能是駭客在踢掉你的真實裝置防止你搶回控制權)。這種情況立刻按盜號應急流程處置。
總結
舊手機不從幣安踢下去是低成本但高風險的安全漏洞。裝置管理頁是幣安賬戶裡最實用的安全工具之一,4 步操作(進裝置管理 → 找出舊裝置 → 點移除 → 驗證下線)就能把舊裝置徹底清出賬戶。賣二手手機前的 8 步清理清單也要走全,否則下家拿到機子就拿到了你的金融憑證。今晚花 5 分鐘開啟裝置管理頁清一遍,把所有 30 天沒活躍的裝置主動移除——這是 2026 年個人賬戶安全裡價效比最高的一個 5 分鐘動作。
本文為 babialab.com(獨立第三方幣安實操實驗室)原創內容,禁止轉載。文中資料來源於 4 月 24 日 38 例裝置清理工單覆盤,不構成投資建議。