在最近的SS7攻击之后，2FA是否应该被认为是不安全的？

Question

与SS7相关的设计缺陷我们已经知道了很长一段时间了，但是电信公司已经很方便地放弃了这样的论点，即由于执行攻击所需的大量投资，这种风险太低了。但考虑到最近有消息称，黑客进行了一次真实世界的SS7攻击，以绕过2FA和虹吸资金，很明显，这些攻击的投资回报将弥补成本。

作为应用程序开发人员和笔式测试人员，我们是否应该将基于SMS的2FA视为一个弱点？

Answer 1

NIST数字识别指南的最新草案反对通过短信进行双因素认证。

我建议使用谷歌认证(或类似的技术)，以促进2FA向前推进，并放弃短信基于带外的验证。