安全专家建议尽可能使用双因素身份验证来保护您的在线帐户。许多服务默认短信验证，通过短信发送代码到您的**时，您尝试登录。但是短消息有很多安全问题，并且是最不安全的双因素身份验证选择。

第一件事：短信仍然比没有两个因素的认证更好！

相关：什么是双因素认证，为什么我需要它？

虽然我们将在这里列出针对SMS的案例，但重要的是，我们首先要明确一点：使用SMS比根本不使用双因素身份验证要好。

当您不使用双因素身份验证时，某人只需要您的密码就可以登录到您的帐户。当你在短信息中使用双因素身份验证时，有人需要同时获取你的密码和访问你的短信才能访问你的帐户。短信比什么都没有安全多了。

如果短信是你唯一的选择，请使用短信。但是，如果您想了解为什么安全专家建议避免使用短信息，以及我们建议的方法，请继续阅读。

sim卡交换允许攻击者窃取你的电话号码

短信验证的工作原理如下：当你尝试登录时，服务会向你之前提供给他们的**号码发送一条短信。你在**上输入密码，然后登录。那个代码只适合一次使用。

听起来相当安全。毕竟，只有你有你的电话号码，有人必须有你的**才能看到正确的代码？不幸的是，没有。

如果有人知道你的电话号码，并且可以访问个人信息，比如你的社保号码的最后四位数字不幸的是，这很容易找到感谢许多公司和**机构已经泄露了客户数据，他们可以联系你的电话公司，并将你的电话号码移动到一个新的电话。这被称为“SIM卡交换”，与您购买新设备并将电话号码移到其中时执行的过程相同。这个人说他们是你，提供个人资料，你的**公司用你的电话号码设置他们的**。他们会把短信代码发送到你的**号码上。

我们在英国看到过这样的报道，攻击者窃取了受害者的电话号码，并用它进入受害者的银行账户。纽约州也对这一骗局提出了警告。

在其核心，这是一个社会工程攻击，依靠欺骗你的**公司。但是你的**公司不应该在第一时间提供给别人你的安全密码！

短信可以通过多种方式被截获

也可以窥探短信。持不同政见者和镇压国家的记者将需要小心，因为**可能劫持通过电话网络发送的短信。这种情况在伊朗已经发生，据报道，伊朗黑客通过截取提供访问电报信使账户的短信，破坏了一些电报信使账户。

攻击者还滥用SS7（用于漫游的连接系统）中的问题，截获网络上的短信并将其路由到其他地方。截获信息的方法还有很多，包括使用假**信号塔。短信不是为了安全而设计的，也不应该用于安全。

换句话说，一个有点个人信息的老练的攻击者可以劫持你的电话号码来访问你的在线帐户，然后使用这些帐户来尝试耗尽你的银行帐户，例如。这就是为什么国家标准与技术研究所不再建议使用短信进行双因素认证的原因。

另一种方法是：在设备上生成代码

相关：如何设置双因素身份验证的Authy（并在设备之间同步代码）

一个不依赖短信的双因素身份验证方案更为优越，因为**公司将无法让其他人访问你的密码。最流行的选择是像googleauthenticator这样的应用程序。但是，我们推荐Authy，因为它可以完成googleauthenticator所做的一切。

这样的应用程序在您的设备上生成代码。即使攻击者欺骗你的**公司将你的电话号码移到他们的**上，他们也无法获得你的安全代码。生成这些代码所需的数据将在**上保持安全。

相关：如何设置谷歌新的无代码双因素认证

你也不必使用密码。Twitter、Google和Microsoft等服务正在测试基于应用程序的双因素身份验证，通过授权用户在**上登录他们的应用程序，用户可以在另一台设备上登录。

还可以使用物理硬件令牌。像Google和Dropbox这样的大公司已经实施了一个新的基于硬件的双因素身份验证令牌标准U2F。这些都比依赖你的**公司和过时的电话网络更安全。

如果可能，避免使用短信进行双因素身份验证。它总比没有好，而且看起来很方便，但它通常是您可以选择的最不安全的双因素身份验证方案。

不幸的是，有些服务强迫你使用短信。如果你担心这个问题，你可以创建一个谷歌语音电话号码，并将其提供给需要短信认证的服务。然后，您可以登录到您的谷歌帐户，您可以用更安全的双因素身份验证方法保护该帐户，并在谷歌语音网站或应用程序中查看安全消息。只是不要把谷歌语音的信息转发到你的实际**号码上。