我知道通过电子邮件和 SMS 获取 OTP 是 2FA 的最弱形式,但考虑到这两种是 2FA 的唯一选择的情况,电子邮件是否比 SMS 更好?
(假设电子邮件 - 而是网络邮件 - 帐户本身通过强密码和 2FA 得到了相当好的保护。)
有关的:
数据库泄漏暴露了 SMS 发送的数百万个双因素代码和重置链接 - Ars Technica
该数据库提供了一个门户,可显示近乎实时发送的双因素代码和重新发送链接,这使得访问服务器的攻击者有可能获得帮助他们劫持他人帐户的数据。
令人担心的是,在您的密码泄露的情况下,2FA 可以保护您。2FA 是一种缓解控制措施,可防止人们滥用该密码。然而,人们经常在多个网站上重复使用他们的密码,包括他们的电子邮件,而且大多数人没有使用 2FA 来保护它。
这意味着,如果您的密码泄露,与通过短信相比,有人能够从您的电子邮件地址获取您的 OTP 的可能性更高。
硬件令牌和 OTP 生成器仍然比 SMS 或电子邮件更受欢迎。
通过 SMS 接收 OTP 的风险在于,攻击者可以致电电话公司并将发送 SMS 的号码重定向到攻击者控制的电话。这假设攻击者知道受害者手机的电话号码和提供商。这种风险很难减轻,因为 OTP 的发送者不会被告知电话更改,并且受害者可能不会立即意识到电话更改。
通过电子邮件接收 OTP 的风险在于攻击者可能有权访问受害者的电子邮件。假设电子邮件帐户受到良好保护且安全(在问题中说明)将减轻这种风险。
为了简短地回答这个问题,我会要求您继续通过手机获取 otp,因为您的电子邮件很容易被黑客入侵,并且很难点击您的手机短信。保护您的手机免于安装来自受信任资源的应用程序和永远不要把你的手机给任何人,如果短信不安全,银行直到现在都不会使用它们。所以,我建议你使用短信。希望这会有所帮助,谢谢。