这似乎是一个非常错误的媒介来发送此类信息。

使用电子邮件的原因与社会安全号码在美国被重新用作帐户标识符的原因相同：Ubiquity。

不是每个人都有 Facebook 帐户。不是每个人都有 Twitter 帐户。但几乎可以肯定，任何能上网的人都有一个电子邮件帐户。客户可以提供电子邮件联系方式供企业使用是合理的期望。

而且我真的不知道这是否重要，但是您永远不会真正看到这些电子邮件服务使用您的 pgp 密钥向您发送“加密”电子邮件。

因为很少有人拥有 PGP 密钥，而设置了集成加密电子邮件的电子邮件客户端的人更少。

我曾经想购买软件，而供应商只会向通过 PGP 电子邮件与他们沟通的人销售。我尝试将 PGP 加密的 blob 作为附件发送，尝试将其内联，并尝试将 PGP 电子邮件集成到我的邮件客户端的附加软件 - 它们都没有通过供应商的审核。我从未购买过该软件。PGP 电子邮件既不是无处不在，也不是看似微不足道的互操作性。

此外，经常提到电子邮件本质上是不安全的，或者在设计时没有考虑到隐私或安全性。

但是，它一直被用于此目的。

它将继续用于此目的，直到出现更好的东西并且每个人都可以使用更好的东西，微不足道。

虽然您正确识别了电子邮件的问题，但在许多情况下，基于邮件的验证仍然被认为是足够安全的。虽然有诸如基于 SMS 的验证、自动电话呼叫甚至蜗牛邮件之类的替代方案，但这些都不像电子邮件那样容易和便宜。

最佳安全措施通常是可用性（即易用性）、可部署性和成本与措施提供的安全性之间的平衡。如果需要更高的安全性，通常意味着部署成本更高和/或更难使用。在许多情况下，电子邮件是一个很好的折衷方案。

电子邮件是最不糟糕的选择。

这不仅仅是电子邮件无处不在。电子邮件是联合的标准协议。没有一个实体控制电子邮件。电子邮件是一个市场。您选择您的电子邮件提供商。不信任他们？把你的生意带到别处。有数千个，从身份验证的角度来看，它们都是等价的。您甚至可以运行自己的服务，尽管服务器声誉使这变得更加困难。由于这种流动性，电子邮件提供商有很强的动机来保持您的信任，而不是阅读您的电子邮件。

相比之下，像 Facebook、Twitter 或 Google 这样的私人单点登录服务是垄断的，具有垄断权。如果他们决定停用您的帐户、将其移交给其他人、使用您的身份验证来窥探您，或者您只是不想与他们做生意，您将没有任何追索权。这适用于用户和选择使用它们进行登录的站点。如果私人单点登录提供商决定他们不喜欢您的服务、国家或行业，或者他们认为您是竞争对手，他们可以拉动您的所有用户。除非你足够有钱聘请律师，或者足够受欢迎来发起社交媒体活动，否则你无能为力。

电子邮件是唯一满足全球无处不在、联合和可接受的安全性的服务。电话号码紧随其后，但由于电话号码要花钱，它们不像电子邮件那样无处不在。软件 OTP是联合且安全的，但并非无处不在。

这是一种用于低（/中）安全服务的简单方法，没有明显更好的选择。恕我直言，在许多情况下，在不宣传您的“跟踪设备”（手机号码）身份的情况下，它可能是可用性和安全性之间的合理折衷。