2fa应用真的比SMS 2fa更好吗？

Question

对于使用身份验证应用程序而不是使用SMS的主要优势，sim-pin的安全保护措施是这样的，不是吗？

Answer 1

是的，使用类似TOTP的2FA应用程序总是比SMS 2FA更好。原因是SMS 2FA受到攻击，攻击者说服您的电话公司将您的SMSes路由到其他地方。此攻击与您手机中的SIM卡无关，SIM卡只是对您的提供商网络进行身份验证。由于您的提供商控制您的号码的提供和所有语音呼叫、文本和数据的路由到您的电话，他们也可以在不需要您任何操作的情况下将其重定向到其他地方，而且SMS 2FA是不安全的，因为这可以在您不知情或未经您同意的情况下完成。无论任何SIM卡在任何地方的状态如何，这都是正确的。

除此之外，SMS消息是纯文本的，可以在没有加密或其他保护的情况下穿越多个网络，因此，与通过不安全信道发送的所有消息一样，它们也会受到窥探或篡改。

假设您已经将TOTP秘密安全地提供给单个设备，那么一个有效的TOTP代码就可以很好地证明您拥有该单个设备，因为无法比蛮力更容易地猜测TOTP代码。由于安全网站将限制尝试次数(通常在3次左右)并使用TLS进行连接，攻击者通常无法获得访问权限。TOTP仍然容易受到网络钓鱼攻击，但短信也是如此。为了防止这些情况发生，您需要WebAuthn或FIDO2。