首先觉得这个场景有点奇怪，“手机丢掉了，电脑也丢了”，那新手机是怎么买的？这两个都丢了但银行卡没丢，感觉是很小众的场景。顺便一提，Apple Watch 上貌似也有 2FA 的 App 。如果身边有人陪同的话，补办一张手机卡应该不难。
再回到题设中来，除了生物特征，大部分 2FA 的本质在于有一个独立的密钥，这个密钥要么存在物理设备里，要么存在人的脑子里，要么存在可信的对象手里。如果都做不到，或者都要通过 2FA 套娃式保护，那确实很难办。
个人推荐是对不同级别的账户分级。风险性不高（或者本身自带二次验证）的应用可以用类似方案 2 的方法保护，确保在外面能保持跟世界的联系。方案 2 服务的访问可以设置通知或在异地保留日志，以掌握意外访问情况。更高风险的还是回家再说。

@9136347 在民用的常见配置下，获得公网 IP 的一般是光猫或路由，不太可能会直接让存储敏感信息的系统直接暴露。即使默认给公网 IP ，对普通网民并不会构成显著的风险。运营商提供的设备也有不安全的风险，但连这一层都要考虑的话，以此推论，运营商的内网 IP 也不一定安全。
作为一种保护，默认有 IPv4/v6 防火墙，允许需要的用户可自行调整就足够了，最多加一步授权确认。安全和方便是一种平衡，不应变成偏执。一刀切不给公网 IP 或者不允许开放公网，超出了保护的合理范畴，确实构成了对用户自由的限制。
关于基础运营商将公网 IP 作为一种增值商品出售，是可行的方案。有的运营商默认给，有的运营商付费给，让用户自行选择即可。但需要注意到，中国大陆地区的基础运营商为国企垄断，因此有义务提供合理的价格。对于取之不尽的 IPv6 不应收费，对于 IPv4 也不宜高于商用云服务厂商的定价。另外，不应限制该公网 IP 进行 ICP 备案，否则合理的价格应该更低。
IPIDEA 恰恰是单纯依赖 NAT 不足以保护家庭网络安全的案例。根据 Google 的报告：“住宅代理网络运营商需要在消费设备上运行代码，将其作为出口节点注册到网络中”。用户自己把代理网络的 SDK 带到内网环境里，再怎么禁止公网也没用。这更说明无论公网还是内网，都要按照零信任的标准设防。

@otmself 即使存在有人因为自行开放公网 IP 受损而撒泼耍赖，也不代表就要断绝所有人的公网 IP ，不然实质上就是鼓励撒泼耍赖。换言之，是在暗示因为不开放公网 IP 而权益受损的人闹得不够狠。

看了下，感觉确实不错。而且中文圈现有的资料不多，在很多方向上都有进一步折腾的空间，例如：
1. 结合各种系统、各种反代
2. 替代各应用原有鉴权，实现自部署的真单点登录
3. 融入到图形化的反代管理工具

如果只考虑浏览器访问的话，确实是一种办法。但路径中有一坨随机字符串还是不太优雅，或许可以考虑用 nginx 的认证。

@Aaron01 大陆地区 cf 被干扰的情况并不少见

如果 cf 的网卡了，而人又在外面，怎么救急

@wangdashuai 那你的方案相当于高度绑定官方中继，如果要快速访问就要交钱，肯定不是人人都能接受的。

全 CNAME 到官方域名，那流量岂不是全都要官方要转发了？如果再跳转回一个解析了真实 IP 的域名，那这个跟 fn id 域名又有什么区别。

一些人把 NAT 当成防火墙拒绝 IPv6 的时候我就提过，现在是零信任的时代了，还抱着 NAT 这套根本防不了横向移动

@leang521 那不就是自建一个代理暴露在公网+本地运行一个代理软件+浏览器装一个代理插件的方案么。代理插件和软件用开源的就行。设置成不接管系统流量的模式，对其他应用也没影响。

@PTLin 这个我也测了一下，一些场景下 mem 读不出来，swapfile 读得出来

@pingdog 我不知道你的具体配置是什么。试从原理上推断，如果单纯是 zram ，数据应该都在内存里。如果同时还在用 swapfile ，那 swapfile 中仍可能包含敏感信息。

可以参考一下威联通，2024 年漏洞的处理流程是：2 月 27 日发新闻稿呼吁用户升级 myQNAPcloud Link ，2 月 29 日不再允许通过 App 连接，3 月 9 日发布安全通告。
https://www.qnap.com/zh-tw/news/2024/qnap-%E6%8F%90%E9%86%92%E7%94%A8%E6%88%B6%E6%9B%B4%E6%96%B0-myqnapcloud-link-%E8%87%B3-v2-4-52-%E4%BB%A5%E4%B8%8A%E7%89%88%E6%9C%AC
https://www.qnap.com/zh-tw/security-advisory/qsa-24-09

看人，AI 更容易让人获得正反馈，求知欲强的人会变得更投入。
如果所谓的“懒”是指疏于对于细节和更底层知识的掌握，个人觉得宏观上应该会有这样的影响。

nginx 访问日志 /usr/trim/nginx/logs/access.log 有检查过么

小米有回收站，OPPO 原来没有？

@NonResistance 看了下，这个帖子搜索引擎没收录，所以之前没发现

@cornorj6 现在网上仍然存在的大量未升级的 fnOS ，到底是属于喜欢折腾的人，还是不喜欢折腾的人