如果我设置一个每个人都不知道的数字，怎么能绕过2FA呢？

Question

我要问的是，将2FA作为2FA的第二步设置2FA可能面临哪些风险，例如，使用2FA登录银行账户页面，而2FA只提供这种保护。在后一种情况下，如果我使用的是我不使用的第二个电话号码，而且我对任何人都不知道的秘密，我怎么可能被这样欺骗，因为考虑到前面提到的号码的机密性，没有人能泄露认证代码？

很明显，我只是强调安全问题，别以为我是个潜在的小偷什么的。

Answer 1

只要您对每个站点使用不同的秘密电话号码，风险可能就很低，因为只有您和站点知道电话号码。但不管怎样，两者都可能泄露它:过去已经表明，即使一个网站声称它只为2FA使用电话号码，它实际上也可能将它用于不同的目的和可能会和其他人分享。

如果你有更多的网站，你将需要一个不同的电话号码为每个网站，虽然，因为否则泄漏的风险，秘密号码将大大增加。显然，这是没有规模的，因为电话系统和手机不是为此而设计的。

Answer 2

首先，如果登录只使用来自文本消息的代码，根据定义，它不是2FA，因为您需要两个因素(例如，代码和密码)。

一般来说，短信既不加密，也不特别安全。

使用单独的数字将使其更安全，因为至少攻击者不知道他们在寻找什么-这假设您对每个帐户使用单独的号码。但这并不意味着攻击是不可能的。另外，你还得随身携带第二部手机。

我不知道为什么一家银行只允许客户通过短信登录，但如果他们有其他方式登录的话，我更愿意这样做。