您不会将 SMS 用作第二个因素。

SMS 无论如何都不安全。文字清晰，流量清晰，假装受害者很容易获得新的 SIM 卡。有一次我的手机被偷了，只是走到电信展台告诉我的名字和电话号码，就给自己买了一张新的 SIM 卡。

Google 身份验证器处于离线状态。它不以任何方式依赖于 SIM 卡。您甚至可以离线使用 PHP/Python/Perl/Javascript 计算 OTP 令牌。你甚至可以用一个计算器来做，让你在上面运行程序。

导致 SIM 交换的主要漏洞之一是来自社会工程攻击。如果您必须使用 SMS 2FA，一种方法是使用 Google Voice 号码。由于 Google Voice 的客户支持很少，因此几乎没有机会进行社会工程攻击。

这不是一个好的解决方案，而且正如其他答案所说，最好跳过 SMS 2FA。但是，如果您必须使用 SMS 2FA，这可能总比没有好。

对于严重的 2FA 身份验证系统，手机只是第二个因素。这意味着要冒充受害者，攻击者还应该猜测主要因素（密码）。

真正糟糕的是，一些身份验证系统，包括一些银行的，接受具有第二个身份验证因素的手机作为主要的密码恢复工具。这显然打破了 2FA 安全性。如果发生这种情况，我认为应该涉及银行的责任：他们强迫客户使用破碎的弱认证系统。但是 IANAL 并且不知道是否在任何国家/地区发生过任何有关此的法律行动......

购买带有几张不同 SIM 卡的廉价旧诺基亚手机。每个在线帐户只能使用一个号码。切勿与任何人分享这些号码。在平局中保持电话关闭。

为什么？如果人们不知道号码，他们就无法进行 SIM 交换。如果他们可以进入属于在此处插入公司名称的数据库，他们可能已经拥有了耗尽您帐户所需的一切。

此外，这可能听起来很奇怪，但当用户使用 ID 文件验证 SIM 卡时，通常更容易更换 SIM 卡，因为这样可以通过电话完成，而不是骗子进入运营商的电话店。