正如@Limit 在您问题下的评论中指出的那样，攻击者首先需要解锁您的手机。这是一个问题。但并非不可能。但是为了争论，让我们假设攻击者在未锁定位置偷走了您的手机（例如，您坐在咖啡店检查互联网，放下手机，转身与某人交谈，然后其他人刷了它）。

一句话回答，是的。这种妥协是完全可能的，部分原因是我个人对一些公司推出 2FA 的方式有些反感。尤其是谷歌，他们知道在手机上使用身份验证器的用户很可能在同一台设备上也有他们的电子邮件。

安全三位一体应该是这样的：

• 你是什​​么（用户名、指纹、视网膜）
• 你知道的东西（密码、密钥文件、其他数据块）
• 你有的东西（OTP 生成器、Keyfob、yubikey）

问题是用户想要方便，这总是对这个模型构成威胁。三位一体工作方式的关键因素是这些事情不应该重叠。

• 不要使用您的用户名作为密码
• 不要为您的“密码”使用与 yubikey 的公钥（或更糟糕的私钥）相同的密钥文件
• 等等...

然而，这条线正变得越来越模糊，因为许多用户希望他们所有与技术相关的任务都集中在一个设备上。它创造了一种情况，即人们将密码（您知道的东西）本质上变成了一种在需要时自动完成密码的设备。有效地将它变成你拥有的东西，因为你不再需要知道它，只需拥有该设备。

由于允许同一设备还包含软件身份验证机制，这种情况变得更糟，该机制应该将设备变成钥匙扣的替代品。

这最终造成的是错误的安全感，用户认为他们拥有用户名-密码-身份验证器的三位一体，但实际上只有一个用户名和两个身份验证器，而且它们都是一个设备。

如果您考虑我们的生活中有多少与上述电子邮件帐户相关联，情况会变得更糟。不仅是您的电子邮件本身，而且还使用该电子邮件注册的任何服务也可能具有使用它的重置策略。因此，攻击者还可以通过您的一台设备将任何服务的所有权转让给他们自己。此外，电子邮件还提供了一个易于使用的界面，可以搜索您已注册的服务。他们所要做的就是搜索“请单击此处验证您的电子邮件：”，然后会出现您尝试注册的域列表。

每当我看到它时，我都会尝试向人们提供建议。每个安全步骤必须在合理的可用性限制范围内尽可能地隔离。如果您的手机上有 google 身份验证器，请不要让您的电子邮件记住您的 gmail 密码。如果您确实允许，请在其他设备上使用身份验证器，例如 ipad、另一部手机或您的计算机。对于与手机一起使用并且不需要在手机本身上完成任何操作的传统身份验证器，有一些很好的替代品。就像启用了 NFC的Yubikey NEO一样。即使您的手机被盗，yubikey 也可能不会被盗（请不要将其连接到挂在您手机上的钥匙链上......）。

这些方法使三位一体的每个部分保持分离，从而在一定程度上缓解了这个问题。清楚地定义安全结构的每个部分之间的界限总是很重要的。否则，它们会开始啮合在一起，直到在这种情况下，它们实际上变成了三位一体的同一部分，在其中一个曾经站立的地方留下了一个空白。