为什么我必须为2FA服务注册一部新手机？号码是一样的，还不够吗？

Question

我有一部智能手机，我使用2FA登录几个服务-银行，github，魔兽世界等。

如果我失去/摧毁我的手机，而没有事先安排帐户回收，这将是一个大麻烦，让我的新手机连接到我的2FA帐户。

如果服务允许的话--我相信github的政策是，如果你使用2FA并丢失你的手机，而你之前没有下载紧急帐户恢复代码列表，你就完蛋了。

为什么是这样？如果我买了一部新手机，号码是一样的，那为什么还不够呢？

Answer 1

首先，2FA可能有多种工作方式，也许最简单的方法是在每次登录时接收带有访问代码的SMS。虽然这是有点不安全，因为它可以被拦截，这样你不应该被要求更新你的2FA设置，如果你切换你的手机，同时保持你的SIM。

2FA的另一种工作方式是在您的手机上安装一个令牌生成器，这是一个来自服务提供商的应用程序。例如，一个基于时间的一次性密码生成器.这里的重点是，您的手机可以在任何时候产生一个令牌，即使没有网络访问。

由于这样的生成器在所有手机上都是一样的，并且是一个确定性的算法，因此需要在您的手机上使用一些代码或密钥来验证它确实是在您的手机上生成的。如果应用程序使用的东西像你的电话号码，每个人都知道，可能会为你的帐户生成一个有效的代码。另外，SIM或硬件的序列号也有类似的缺陷。因此，一个更好的方法是拥有一个随机密钥，只在您的特定电话和某种类型的服务(用于验证)。顺便说一句，这不仅使你的手机丢失成为一个问题，而且还删除了你的发电机应用程序。

然而，这样的键意味着，更改您的手机必然意味着您将有一个不同的安装在您的新手机上的新钥匙(或非)。出于安全考虑，您的旧密钥不应该用于任何同步服务，因此不应该有复制它的意思。

为什么你的帐户的恢复是如此复杂，是因为它被定义为是一种通过2FA的方式。这意味着，如果有一个简单的方法，你可以恢复它，也有一个简单的方法，让坏人可以访问你的帐户，而你使用2FA。通过完全否认这一点(就像Github一样)，它可以保证一旦启用了2FA，其他人就很难通过它了。