基於 SMS 的雙因素驗證不安全

Q: 什麼是雙因素驗證 (2FA)？為什麼它很重要？

雙因素驗證 (2FA) 是一種額外的安全層，在授予帳戶訪問權限之前需要兩種形式的身份驗證。除了僅使用密碼外，還需要第二個因素，例如來自驗證應用的一次性代碼、硬件安全密鑰或生物識別認證。即使攻擊者獲得您的密碼，它也能顯著降低未經授權的訪問風險。

Q: 最強的 2FA 類型有哪些？

最安全的第二因素是那些抗網絡釣魚且不易被攔截的。這些包括 FIDO2/WebAuthn 安全密鑰（例如，YubiKey、Titan 安全密鑰）、基於 TOTP 的驗證應用（Google Authenticator、Authy）和通行密鑰。基於 SMS 的 2FA 和基於電子郵件的 2FA 較弱，如果可能應避免使用。

Q: 為什麼基於 SMS 的 2FA 被認為不安全？

基於 SMS 的 2FA 容易受到 SIM 交換攻擊、SS7 漏洞和網絡釣魚的攻擊。攻擊者可以劫持您的電話號碼並截獲驗證代碼，使其成為不可靠的安全形式。相反，使用更安全的選擇，如硬件密鑰或 TOTP 驗證應用。

Q: 如果我失去了我的第二因素（例如，手機，YubiKey）怎麼辦？

如果您失去對第二因素的訪問權，恢復選項包括使用服務提供的備份代碼、使用備用驗證設備，或聯繫支持以進行帳戶恢復。建議設置多種身份驗證方法以防止被鎖定。

Q: 黑客可以繞過 2FA 嗎？

雖然 2FA 大大提高了安全性，但某些方法可以通過網絡釣魚、中間人攻擊和 SIM 交換被繞過。為了防止這種情況，使用抗網絡釣魚的認證，比如硬件安全密鑰、通行密鑰或基於設備的認證。

為什麼 Psono 避免使用基於 SMS 的雙因素驗證並專注於更強的驗證方法

當涉及到保護您的密碼和敏感數據時，並非所有的雙因素驗證（2FA）方法都一樣。許多服務仍然提供基於 SMS 的 2FA，但像 Psono 這樣注重安全的平台完全迴避它，轉而選擇更強大的選擇，如 WebAuthn、YubiKey 和 TOTP（基於時間的一次性密碼）。

這不僅僅是一種偏好—這是保障安全的必需。基於 SMS 的 2FA 有著顯著的漏洞，現實中的攻擊已證明它是黑客的易攻擊目標。在此文章中，我們將逐步解釋為什麼 SMS 2FA 是弱的，並強調現實世界的攻擊如何暴露其缺陷。

🔒 基於 SMS 的 2FA 的弱點

基於 SMS 的認證易受多種攻擊方法的影響，包括：

SIM 交換 – 攻擊者欺騙移動運營商將受害者的電話號碼轉移到一個新的 SIM 卡上，從而攔截所有 SMS 代碼。
SS7 攻擊 – 利用全球信令系統第 7 號（SS7）協議的漏洞來遠程攔截 SMS 消息。
網絡釣魚與社交工程 – 通過假的登錄頁面誘騙用戶透露基於 SMS 的代碼。

這些風險使基於 SMS 的 2FA 成為最弱的身份驗證形式之一。

🛡️ Psono 為什麼使用更強的 2FA

Psono 優先考慮安全性，只支持強大的 2FA 方法，包括：

WebAuthn（FIDO2) – 使用公鑰加密和生物識別技術或硬件安全密鑰（如 YubiKey）。
YubiKey 和其他安全密鑰 – 需要直接訪問才能驗證的物理令牌。
TOTP (Google Authenticator, Authy 等) – 在設備上生成而非通過 SMS 傳輸的一次性密碼。

這些方法顯著更安全，因為它們抗網絡釣魚、不依賴移動運營商，不存在遠程接管風險。

📢 現實中的 SMS 2FA 攻擊

為了說明為什麼 Psono 拒絕實施基於 SMS 的認證，以下是利用其弱點的現實攻擊：

1. 中國對美國電信行業的攻擊 (SS7 漏洞和更多)

在 2024 年 2 月，FBI 和 CISA 發布了聯合警告，指出中國國家支持的黑客針對商業電信網絡。這些攻擊利用了 SS7 協議中的漏洞——用於路由 SMS 消息的協議。攻擊者能夠攔截認證消息，證明 SMS 2FA 可以在系統層面被破壞。

2. 推特（X）CEO 傑克·多爾西的 SIM 交換攻擊（2019 年）

在 2019 年，推特當時的 CEO 傑克·多爾西的帳號被通過 SIM 交換攻擊入侵。黑客說服他的移動運營商將他的電話號碼轉移到他們的 SIM 卡上，從而攔截了 2FA SMS 代碼並控制了他的推特帳號。

3. Coinbase SIM 交換攻擊（2021 年）– 數千美元被盜

在 2021 年，Coinbase 披露超過 6,000 名客戶因大規模 SIM 交換攻擊而損失資金。黑客使用攔截的 SMS 代碼重設受害者的密碼，完全控制帳戶並竊取加密貨幣。

4. Reddit 的 2018 年數據洩露 – SMS 2FA 失敗

在 2018 年，Reddit 發生數據洩露，儘管啟用了基於 SMS 的 2FA，黑客仍能訪問員工帳戶。攻擊者使用攔截的 SMS 代碼繞過了認證，曝光了敏感用戶數據。

🚀 2FA 的未來：超越 SMS

如果您仍在使用基於 SMS 的 2FA，是時候切換到更強的替代方法，如WebAuthn、YubiKey 或 TOTP 驗證。Psono 對安全性的承諾意味著它不會妥協於提供基於 SMS 的認證。

想保持安全嗎？ 使用硬件安全密鑰、TOTP 應用或生物識別認證—永遠不要僅依賴於基於 SMS 的認證。

以正確的方式保護您的帳戶—放棄 SMS 2FA！

關於雙因素驗證 (2FA) 的常見問題

什麼是雙因素驗證 (2FA)？為什麼它很重要？

雙因素驗證 (2FA) 是一種需要 兩種形式驗證 才能授予帳戶訪問權限的額外安全層。除了僅使用密碼，您還需要第二個因素，例如：

來自驗證應用的一次性代碼（TOTP）
硬件安全密鑰（例如，YubiKey, Titan 安全密鑰）
生物識別認證（指紋、人臉識別）

即使攻擊者獲得您的密碼，它也能顯著降低未經授權的訪問風險。

最強的 2FA 類型有哪些？

最安全的 第二因素是那些抗網絡釣魚且不易被攔截的。這些包括：

✅ FIDO2/WebAuthn 安全密鑰（例如，YubiKey, Titan 安全密鑰）
✅ 基於 TOTP 的驗證應用（Google Authenticator, Authy, Aegis）
✅ 通行密鑰（使用生物識別或硬件安全密鑰的無密碼認證）

較弱的方法（應避免）：

❌ 基於 SMS 的 2FA – 易受 SIM 交換攻擊和 SS7 漏洞影響
❌ 基於電子郵件的 2FA – 如果您的電子郵件被黑客入侵，則可能被破解

為什麼基於 SMS 的 2FA 被認為不安全？

基於 SMS 的 2FA 容易受到多種攻擊方法的影響，如：

SIM 交換攻擊 – 黑客欺騙您的移動運營商將您的號碼轉移到他們的 SIM，讓他們接收您的 2FA 代碼。
SS7 漏洞 – 攻擊者利用電信基礎設施中的漏洞攔截 SMS 消息。
網絡釣魚攻擊 – 假網站誘騙用戶輸入他們的 SMS 代碼，讓攻擊者能登入。

🔹 更好的選擇： 使用硬件安全密鑰或 TOTP 應用代替 SMS 2FA。

如果我失去了我的第二因素（例如，手機，YubiKey）怎麼辦？

如果您失去對第二因素的訪問權，您可以通過以下方式恢復帳戶：

使用備份代碼 – 許多服務在設置 2FA 時提供一次性備份代碼。安全存放它們。
使用備份設備 – 一些驗證應用允許多個設備存儲 TOTP 代碼。
聯繫支持 – 一些服務提供帳戶恢復，但這可能很慢，並需要身份證明。
使用第二個硬件密鑰 – 如果您的服務支持，註冊多個安全密鑰（主密鑰+備用）。

🔹 專業提示： 始終設置多種身份驗證方法以防止故障。

黑客可以繞過 2FA 嗎？

雖然 2FA 大大提高了安全性，但某些方法可以通過高級攻擊被繞過：

🚨 常見攻擊方法：

網絡釣魚攻擊 – 假登錄頁面誘騙用戶輸入他們的密碼和 2FA 代碼。
中間人攻擊 – 在不安全的網絡上攔截身份驗證令牌。
SIM 交換 – 將 SMS 代碼重定向到攻擊者的手機。

✅ 如何防止：

使用抗網絡釣魚的認證（WebAuthn，通行密鑰，安全密鑰）。
啟用附加設備的認證（以防止令牌被遠程重用）。
警惕可疑的登錄頁面 – 在輸入憑據之前始終驗證 URL。

由 Sascha Pfeiffer 於 February 12, 2025 撰寫

尋找更多？

查看我們的最新文章！