结束基于短信的双因素认证；是的，它不安全！

双因素身份验证（Two-Factor Authentication，简称2FA）增加了一个额外的步骤，即在您登录帐户时，输入通过短信或电话发送给您的随机密码，作为额外的保护层。

例如，如果你在Gmail上启用了2FA，平台会在你每次登录你的账户时向你的手机发送一个六位数的密码。
但是美国国家标准与技术研究所（NIST）该公司发布了一份新的数字认证指南草案，称出于安全考虑，未来应禁止基于短信的双因素认证。

以下是DAG最新草案的相关段落：

“如果使用公共移动电话网络上的SMS消息进行带外验证，则验证人应验证所使用的预注册电话号码实际上与移动网络关联，而不是与VoIP（或其他基于软件的）关联。”服务然后，它将短信发送到预先注册的电话号码。在变更时，未经双因素认证，不得更改预先注册的电话号码。不推荐使用SMS的OOB[带外验证]，并且在本指南的未来版本中不再允许使用。"

由于数据泄露的增加，双因素认证已成为当今的标准做法。许多服务向其消费者提供基于短信的2FA，只是为了确保黑客需要他们的密码和手机才能入侵他们的账户。

基于SMS的双因素身份验证是不安全的

然而，NIST认为，基于短信的双因素认证是一个不安全的过程，因为任何人都很容易获得手机，网站运营商无法验证接收2FA代码的人是否是正确的接收者。

事实上，如果个人使用互联网语音协议（VoIP）服务，通过宽带互联网连接而不是传统网络提供电话呼叫服务，基于短信的双因素身份验证也容易被劫持。

由于一些VoIP服务允许劫持SMS消息，黑客仍然可以访问您的帐户，这些帐户受到基于SMS的双因素身份验证的保护。

此外，SS7或7号信令系统的设计缺陷还允许攻击者将包含一次性密码（OTP）的短信转移到自己的设备上，从而让攻击者劫持任何使用短信发送密码重置帐户密码的服务，包括Twitter、Facebook或Gmail。

甚至有些设备也会泄露通过锁屏短信接收到的密码。

NIST建议使用生物识别技术！

DAG草案指出，通过安全应用程序或生物识别技术（如指纹扫描仪）进行的双因素身份验证仍可能用于保护您的帐户。

"因此，支持使用生物识别技术进行身份验证，并遵循以下要求和准则：生物识别技术应与另一种身份验证因素（你知道的或你拥有的东西）一起使用，“草案内容如下：。

此外，Facebook和谷歌等许多科技公司都提供应用内代码生成器作为双因素身份验证的替代解决方案，它不依赖短信或网络运营商。

上个月，谷歌推出了一种名为谷歌提示（Google Prompt）的新方法，使用一个简单的推送通知，你只需点击手机即可批准登录请求，从而大大简化了双因素身份验证。