保护儿童账户 - 按年龄段的安全设计指南

本文约需 13 分钟阅读

儿童账户是攻击者的首要目标。未成年人使用的游戏账户、学校平台和社交媒体资料， 经常通过社会工程学、撞库攻击和网络钓鱼被利用，而且比成人账户更容易得手。 根据美国联邦贸易委员会的数据，2022 年至 2024 年间，涉及 19 岁以下儿童的身份盗窃报告 增加了 30%，其中游戏平台占最大比例。在日本，警察厅报告称 2024 年约有 1,800 名 未成年人成为源自社交媒体的网络犯罪受害者。核心问题在于，儿童缺乏评估安全风险的 认知框架，因此不仅需要教育，更需要适龄的安全设计。本指南提供了一个结构化的方法， 涵盖四个发展阶段的儿童账户保护，包括平台级控制、密码实践和网络钓鱼防范。

儿童账户被盯上的结构性原因

儿童账户对攻击者有吸引力，不仅仅是因为「安全意识低」。三个结构性因素叠加在一起。第一，游戏账户积累了可变现的数字资产 (皮肤、道具、游戏内货币)，在黑市上有交易价值。Fortnite 的稀有皮肤以数百美元交易的案例并不罕见，孩子花数年收集的道具瞬间被夺走的情况屡见不鲜。

第二，儿童容易受到社会工程学攻击。「给你免费游戏道具」「教你作弊代码」这样的诱惑，成年人会警惕，但对孩子来说很有吸引力。攻击者通过游戏内聊天和 Discord 服务器与孩子建立信任关系，花数周时间套取密码和账户信息。这是典型的社会工程学手法，仅靠技术防御无法完全阻止。

第三，儿童账户往往是家庭账户的入口。与 Family Link 关联的孩子的 Google 账户 可能与父母共享支付方式。攻破孩子的账户可能导致未经授权的购买或访问父母的邮箱。 要深入了解这些操纵技术，请参阅我们关于社会工程学防御的文章。社会工程学的概念在用语集中也有说明。

按年龄段的安全设计

儿童的安全措施需要根据认知发展阶段来设计。前额叶皮层的发育程度会显著影响对抽象风险概念的理解能力。以下是四个阶段的设计指南。

6-9 岁 - 家长完全管理阶段

在这个年龄段，密码管理的责任完全在家长身上。需要教给孩子的只有一条规则：「密码就像家门钥匙，不能给家人以外的人看」。使用 Google Family Link 可以从家长的设备集中管理孩子的账户，包括应用安装审批、使用时间限制和位置确认。Apple 的家庭共享配合 Screen Time 可以设置按年龄限制的内容过滤和应用内购买审批。

技术要点：在这个年龄段，应为孩子创建专用邮箱地址并关联到家长账户。Gmail 的情况下，13 岁以下儿童的账户只能通过 Family Link 创建，会自动关联到家长的 Google 账户。密码由家长设置为 16 个字符以上的随机字符串，用密码管理器管理。不要把密码告诉孩子。

10-12 岁 - 逐步过渡阶段

这个时期是从家长管理向自我管理过渡的重要阶段。前额叶皮层的发育使孩子能够理解「为什么不能重复使用密码」这样的因果关系。具体来说，让孩子自己体验创建密码。在 passtsuku.com 上一起生成 12 个字符以上的密码，观察强度指示器的变化，让他们体验式地学习「为什么长度和复杂性很重要」。

在这个阶段，引入两步验证的概念。 使用家长的设备作为认证器，为孩子的主要账户设置两步验证。这样即使密码泄露， 账户仍然受到保护。Microsoft Family Safety 对这个年龄段特别有效， 提供活动报告显示孩子访问了哪些网站以及花了多少时间， 使基于数据的在线行为对话成为可能。关于两步验证的实施， 请参阅我们的两步验证指南。

13-15 岁 - 自主管理阶段

13 岁是许多服务允许创建独立账户的年龄，也是正式开始自主安全管理的时期。在这个年龄段，建议引入密码管理器。为孩子创建专用的密码管理器账户，教他们主密码的设置方法和使用规则。主密码使用 20 个字符以上的密码短语 (例如：将喜欢的歌词的一部分变形)，其他所有密码都由密码管理器自动生成。

这也是教授网络钓鱼识别技能的年龄。 展示真实的钓鱼邮件示例 (隐去敏感数据)，练习识别危险信号：发件人地址不匹配、 紧迫感策略和可疑 URL。我们的网络钓鱼防护指南提供了详细技巧。 这个年龄段 SNS 账户成为主要关注点，一起查看SNS 账户保护也很有价值。

16-18 岁 - 完全自立阶段

进入高中后，与现实生活直接相关的账户增多：网上购物、银行账户、兼职工作系统登录等。在这个阶段，逐步解除家长监控，过渡到完全的安全自我管理。但不要一次性过渡，而是采用分阶段的方法：先完全委托重要性较低的账户 (游戏、社交媒体) 的管理，确认能够正常运营后，再过渡金融类账户的管理。

在这个阶段，可以考虑为支持的服务引入通行密钥。 通行密钥完全消除了与密码相关的风险，代表了认证的未来。我们关于通行密钥与无密码认证的 文章详细解释了这项技术。

各平台家庭设置比较

主要平台的家庭设置各有不同的优势和限制。Google Family Link 与 Android 设备深度集成，可以集中管理应用安装审批、使用时间限制、位置追踪和网页过滤。但需要注意，孩子满 13 岁时部分监控功能会自动解除。Apple Screen Time 在 iOS/macOS 生态系统内功能强大，提供按应用类别的时间限制、通信限制 (联系人控制) 和内容限制。特别是应用内购买的「购买前询问」功能，在防止儿童未经授权购买方面非常有效。

Microsoft Family Safety 的特点是同时覆盖 Windows PC 和游戏机 (Xbox)。Xbox 的账户安全对于经常遭受游戏账户被盗的儿童来说尤为重要。每周通过邮件接收活动报告，可以定期了解孩子的使用情况。Nintendo Switch 的家长控制作为专用游戏机比较简单，但可以限制游戏时间和控制在线通信。无论哪个平台，设置后都不要放任不管，每月至少检查一次设置内容。

密码教育的实践方法

教育心理学研究表明，「因为危险所以不行」这种禁止型教育在向儿童传达密码重要性方面效果不佳。相反，体验式学习更有效。首先，使用 passtsuku.com 让孩子直观体验「弱密码」和「强密码」的区别。并排生成一个 6 个字符的纯小写字母密码和一个包含大小写字母、数字、符号的 16 个字符密码，观察强度指示器的差异。

接下来，全家一起试试「密码猜测游戏」。家长尝试猜测孩子创建的密码，猜中了就是「这个密码很弱」，猜不中就是「这是个强密码」。孩子会亲身体会到用自己名字或生日设置的密码多么容易被猜到，自然理解随机密码的必要性。这个体验能将抽象的「安全风险」转化为具体的「输了的不甘心」。

要系统地推进儿童网络安全教育，儿童安全教育相关书籍 (Amazon)提供了家长可以遵循的结构化课程。

实际受害案例与统计数据

儿童账户受害比统计数据显示的更为严重。IPA (信息处理推进机构) 2024 年「信息安全十大威胁」中，「互联网服务的非法登录」位居个人威胁前列。与儿童相关的受害中，游戏账户被盗尤为突出。在一个案例中，一名 10 岁的孩子在 Minecraft 多人服务器上认识的人请求「暂时借用你的账户」，孩子告知密码后，账户被劫持，数年的世界数据被删除。

更严重的案例中，SNS 账户被盗导致个人信息泄露并发展为网络欺凌。一名 13 岁的中学生将 Instagram 密码告诉了朋友，但友谊恶化后账户被劫持，私人消息在全校传播。在这个案例中，分享密码这一单一行为导致了连锁反应：网络欺凌、拒绝上学、转学。儿童账户安全不仅关系到数字空间，还直接影响现实生活。

从今天开始的行动计划

儿童账户安全，比起追求完美，「从今天能做的事情开始」更为重要。请按优先级顺序执行以下五个步骤。

1. 审查孩子目前使用的所有账户，检查是否存在密码重复使用
2. 为孩子的主要账户 (Google、Apple ID、游戏平台) 启用两步验证
3. 根据孩子的年龄配置平台家庭设置 (Google Family Link、Apple Screen Time 或 Microsoft Family Safety)
4. 使用 passtsuku.com 一起练习创建强密码，体验强度指示器的变化
5. 建立家庭规则：「除了父母以外绝对不把密码告诉任何人」，并检查设备锁定安全

常见问题

如果孩子的游戏账户被盗了该怎么办？

首先联系该服务的客服，请求临时冻结账户。然后更改所有使用相同密码的其他服务的密码。保存截图和交易记录作为证据，如果有经济损失，请咨询警方网络犯罪部门。

孩子几岁开始使用密码管理器比较合适？

大约 13 岁是一个参考标准。到了这个年龄，孩子能够理解主密码的概念，并能自主操作密码管理器。在此之前，由家长管理密码，只教孩子「密码要保密」这一基本原则。

如果孩子绕过了家庭设置怎么办？

不要仅依赖技术限制，与孩子讨论为什么需要这些限制很重要。不要责骂绕过限制的行为本身，而是用适合年龄的语言解释「为什么有这些限制」。另外，由于更改 Google Family Link 或 Apple Screen Time 的设置需要家长的密码，请确保密码管理到位。