在保护您的密码和敏感数据方面,并非所有双因素认证 (2FA) 方法都是一样的。许多服务仍然提供基于短信的 2FA,但像Psono这样的安全意识平台完全避免使用它,转而选择更强的选项,如WebAuthn、YubiKey 和 TOTP(基于时间的一次性密码)。
这不仅仅是偏好问题,而是强大安全性的必要条件。基于短信的 2FA 存在重大漏洞,现实世界的攻击已经证明它是黑客的易目标。在这篇博客文章中,我们将分析为什么短信 2FA 很弱,并重点展示其缺陷的真实攻击。
🔒 基于短信的 2FA 的弱点
基于短信的认证容易受到多种攻击方法的影响,包括:
- SIM 卡交换 —— 攻击者欺骗移动运营商将受害者的电话号码转移到新的 SIM 卡,从而拦截所有短信代码。
- SS7 攻击 —— 利用全球信令系统 No.7 (SS7) 协议中的缺陷远程拦截短信。
- 网络钓鱼与社会工程 —— 通过伪造的登录页面诱骗用户透露基于短信的代码。
这些风险使得基于短信的 2FA 成为最弱的认证形式之一。
🛡️ 为什么 Psono 使用更强的 2FA
Psono 优先考虑安全性,仅支持强大的 2FA 方法,包括:
- WebAuthn (FIDO2) —— 使用公钥密码学和生物识别或硬件安全密钥(例如 YubiKey)。
- YubiKey 和其他安全密钥 —— 需要直接访问进行身份验证的物理令牌。
- TOTP (Google Authenticator、Authy 等) —— 在设备上生成一次性密码,而不是通过短信传输。
这些方法显著更安全,因为它们具有抗网络钓鱼,不依赖移动运营商并消除远程接管风险。
📢 短信 2FA 的真实攻击案例
为了说明为什么 Psono 拒绝实施基于短信的认证,以下是利用其弱点的真实攻击案例:
1. 中国攻击美国电信(SS7 漏洞及更多)
2024 年 2 月,FBI 和 CISA发布联合警告,称中国国家支持的黑客攻击商业电信网络。这些攻击利用了 SS7 协议中的漏洞——用于路由短信的协议。攻击者能够拦截认证消息,显示 SMS 2FA 如何在系统级别被攻破。
2. Twitter(现为 X) CEO Jack Dorsey 的 SIM 卡交换攻击 (2019)
在 2019 年,Twitter 当时的 CEO Jack Dorsey 通过 SIM 卡交换攻击被劫持了账号。黑客说服他的移动运营商将他的电话号码转移到他们的 SIM 卡上,使他们能够拦截 2FA 短信代码并控制他的 Twitter 账号。
3. Coinbase SIM 卡交换攻击 (2021) —— 数千美元被盗
在 2021 年,Coinbase 披露超过 6000 名客户因一次大规模的 SIM 卡交换攻击丢失了资金。黑客使用拦截的短信代码重置受害者的密码,完全控制账户并窃取加密货币。
4. Reddit 2018 年数据泄露 – SMS 2FA 失效
在 2018 年,Reddit 遭遇数据泄露,即便启用了基于短信的 2FA,黑客仍然访问了员工账户。攻击者利用拦截的短信代码绕过了认证,暴露了敏感用户数据。
🚀 2FA 的未来:超越短信
如果您仍在使用基于短信的 2FA,是时候切换到更强的替代方案,如WebAuthn、YubiKey 或基于 TOTP 的认证。Psono 对安全的承诺意味着它不会通过提供基于短信的认证来妥协。
想保持安全?使用硬件安全密钥、TOTP 应用程序或生物认证——绝不要单独依赖短信认证。
以正确的方式保护您的账户——抛弃短信 2FA!
关于双因素认证 (2FA) 的常见问题
什么是双因素认证 (2FA) 以及它为什么重要?
双因素认证 (2FA) 是一种额外的安全层,要求两种形式的认证才能登录账号。除了使用密码之外,您还需要第二个因素,例如:
- 来自认证器应用的一次性代码(TOTP)
- 硬件安全密钥(例如 YubiKey、Titan 安全密钥)
- 生物认证(指纹、面部识别)
即使攻击者获取您的密码,也可以显著降低未经授权访问的风险。
什么是最强的 2FA 类型?
最安全的第二因素是那些抗网络钓鱼且不易被拦截的。这些包括:
- ✅ FIDO2/WebAuthn 安全密钥(例如 YubiKey、Titan 安全密钥)
- ✅ 基于 TOTP 的认证应用(Google Authenticator、Authy、Aegis)
- ✅ Passkeys(使用生物识别或硬件安全密钥的无密码认证)
较弱的方法(应避免):
- ❌ 基于短信的 2FA —— 易受 SIM 卡交换攻击和 SS7 漏洞影响
- ❌ 基于邮件的 2FA —— 如果您的邮箱被黑可能被攻破
为什么基于短信的 2FA 被认为不安全?
基于短信的 2FA易受到多种攻击方法的影响,例如:
- SIM 卡交换攻击 —— 黑客欺骗您的移动运营商将您的号码转移到他们的 SIM 卡上,使他们能够接收您的 2FA 代码。
- SS7 漏洞 —— 攻击者通过利用电信基础设施中的漏洞拦截短信。
- 网络钓鱼攻击 —— 虚假的网站诱骗用户输入他们的短信代码,允许攻击者登录。
🔹 更好的替代方案: 使用硬件安全密钥或 TOTP 应用代替短信 2FA。
如果我丢失了我的第二因素(例如手机、YubiKey)怎么办?
如果您无法访问您的第二因素,您可以通过以下方式恢复账号:
- 使用备份代码 —— 许多服务在设置 2FA 时提供一次性备份代码。请安全地存储它们。
- 使用备用设备 —— 一些认证应用允许多个设备存储 TOTP 代码。
- 联系支持 —— 一些服务提供账号恢复,但可能需要时间,并需要证明身份。
- 使用第二个硬件密钥 —— 如果您的服务支持,注册多个安全密钥(主+备)。
🔹 专业提示: 始终设置多种认证方法以防一种方法失效。
黑客可以绕过 2FA 吗?
虽然 2FA 显著提高了安全性,但某些方法可以被绕过,使用更高级的攻击:
🚨 常见攻击方法:
- 网络钓鱼攻击 —— 虚假的登录页面诱骗用户输入他们的密码和 2FA 代码。
- 中间人 (MitM) 攻击 —— 在不安全的网络上拦截认证令牌。
- SIM 换卡 —— 将短信代码重定向到攻击者的手机。
✅ 如何预防:
- 使用抗钓鱼的认证(WebAuthn、Passkeys、安全密钥)。
- 启用设备绑定认证(以便令牌不能被远程重用)。
- 对可疑的登录页面保持警惕 —— 输入凭据前请始终验证 URL。
