泥潭日报 uscardforum · 每日精选

使用短信作为 2FA 验证方式并不安全

💰 理财 作者 BankOfAmerica 原帖 #501157 ↗
内容摘要

短信2FA不安全,易遭SIM swap攻击,建议改用硬件密钥或TOTP。

1. 关键信息

  • SIM swap(手机号劫持)常见,骗子可忽悠运营商换新SIM卡(#1、#3、#6)。
  • 安全替代方案:YubiKey(#5、#7、#22)、TOTP应用如Aegis(#7)、Google Authenticator(#16-17、#19)。
  • Google Fi / Google Voice 比传统运营商稍安全(#8),但仍有风险(#12)。
  • 实体店运营商更危险(#26、#28),虚拟运营商Lyca有过漏洞(#29)。
  • Chase已支持Passkey(#24),Fidelity支持2FA app(#15),但Amex、Discover等仍仅短信(#24)。
  • 风控措施:C1转点会检测SIM更换时间触发验证(#18)。

2. 羊毛/优惠信息

无。

3. 最新动态

  • 高端YubiKey可存TOTP(#23)。
  • 流行Phishing Resistant MFA(#22),Windows Hello、Face ID、YubiKey属此类。
  • IHG仍用4位PIN(#32)。

4. 争议或不同意见

  • #21 @ovrimo: 短信2FA总比没有强。
  • #9 @qwaszx: 信用社会偷了可dispute。
  • #10 @mengyu202: 旧SIM会被deactivate,用户会马上知道。

5. 行动建议

  • 立即停用短信2FA,改用YubiKey或TOTP应用(#5、#7)。
  • 如需用短信,选择Google Fi/Google Voice(#8),但更推荐跨账户使用P2手机号降低风险(#27)。
  • 定期检查是否有SIM swap迹象,被盗后立即人工锁卡(#18)。
原始内容
--- 第 1 楼来自 BankOfAmerica 的回复 (2026-04-23 05:08:08 PDT) ---

chatgpt说 手机号劫持 很常见. 骗子去忽悠运营商 开个新sim卡

--- 第 2 楼来自 Zwillingsturme 的回复 (2026-04-23 05:10:21 PDT) ---

所以早就不用手机做2fa了 个别不给其他选项的尽量少用

--- 第 3 楼来自 Free 的回复 (2026-04-23 05:16:07 PDT) ---

BankOfAmerica: 骗子去忽悠运营商 开个新sim卡 这个是怎么操作的?不需要身份验证吗?

--- 第 4 楼来自 adu 的回复 (2026-04-23 05:19:05 PDT) ---

email比手机安全吗

--- 第 5 楼来自 Zwillingsturme 的回复 (2026-04-23 05:21:44 PDT) ---

啊?2fa用yubikey啊 实在不行用那种软件authenticator

--- 第 6 楼来自 maruha 的回复 (2026-04-23 05:23:29 PDT) ---

id都是假的,运营商不会对比真人图片(其实银行也不会对比就是了 最严格的一次还是bestbuy薅tradein deal限量录了指纹

--- 第 7 楼来自 anno82023825 的回复 (2026-04-23 05:24:41 PDT) ---

yubikey aegis 终极选手:Precursor 不要用sms……

--- 第 8 楼来自 ailulu 的回复 (2026-04-23 05:28:59 PDT) ---

非要用sms的话Google fi 或 Google voice 会比传统运营商安全点~

--- 第 9 楼来自 qwaszx 的回复 (2026-04-23 05:37:43 PDT) ---

信用社会,被偷了dispute

--- 第 10 楼来自 mengyu202 的回复 (2026-04-23 06:07:39 PDT) ---

BankOfAmerica: 开个新sim卡 旧的会deactivate,至少你会马上知道

--- 第 11 楼来自 maruha 的回复 (2026-04-23 06:08:26 PDT) ---

贪便宜的买虚拟运营商没实体店的这时候就直接抓瞎了

--- 第 12 楼来自 wtx 的回复 (2026-04-23 06:19:21 PDT) ---

为啥google fi更安全?

--- 第 13 楼来自 meow-meow 的回复 (2026-04-23 06:31:39 PDT) ---

哪有那么高端劫持手机号/基站,就是视频通话直接看或者app获取了读取短信/屏幕的权限

--- 第 14 楼来自 Tristesse 的回复 (2026-04-23 06:37:10 PDT) ---

然而很多银行都是短信,邮箱,或者App Push Notification 哪怕券商,支持Authenticator的也不多 更不要说YubiKey了

--- 第 15 楼来自 njcyx 的回复 (2026-04-23 06:38:31 PDT) ---

Fidelity 支持2fa app

--- 第 16 楼来自 lix 的回复 (2026-04-23 06:41:49 PDT) ---

刚好问下,用Google认证软件的话,回国没有上vpn的时候可以打开这个验证码吗

--- 第 17 楼来自 xyzxyzxyz 的回复 (2026-04-23 06:46:47 PDT) ---

totp是不需要网络的。

--- 第 18 楼来自 Wi-Fi 的回复 (2026-04-23 06:50:20 PDT) ---

https://www.uscardforum.com/t/topic/474745/256 各位一定要严防SIM Swapping被偷手机号。 https://www.uscardforum.com/t/topic/450123/10 关键词sim swap。立刻用别人的手机打电话给客服,说自己被sim swap了,把所有银行卡都人工锁了。不然你只用app锁,盗手机号的人一样可以收短信验证码解锁。 https://www.uscardforum.com/t/topic/262364 /c/rewards/credit-cards/5 亲爱的论坛朋友们,晚上好,吉祥如意 今天,我想和大家分享一个有趣且重要的发现——Capital One银行如何运用高科技手段进行风控。常用C1转分的朋友都知道,C1在转点为航空里程时会进行两步验证。 之前,https://www.uscardforum.com/t/topic/207574/14,以确保手机号持有人与账户主体一致,否则会出现类似下图的错误同时阻止转点。但我最近的转点经历让我发现了另一个可能触发风控的重要因素:SIM卡更换时间。… 学名sim swap

--- 第 19 楼来自 lix 的回复 (2026-04-23 06:56:11 PDT) ---

多谢多谢, 我现在所有的验证都全面转向google那个了. 省事儿. 短信有时候确实收不到

--- 第 21 楼来自 ovrimo 的回复 (2026-04-23 07:22:25 PDT) ---

总比没有2FA要强吧。

--- 第 22 楼来自 tonywush 的回复 (2026-04-23 07:29:16 PDT) ---

现在流行的是Phishing resistant MFA 短信不属于PRMFA Windows Hello, Face ID, Yubikey算

--- 第 23 楼来自 ze3kr 的回复 (2026-04-23 07:30:00 PDT) ---

高端款的 YubiKey 可以存 TOTP 的,可以多买几个,然后把二维码塞进去。不过对于大多数人没必要,App 存 TOTP 就足够安全了

--- 第 24 楼来自 Tristesse 的回复 (2026-04-23 07:36:36 PDT) ---

我知道,但是像Chase,Amex,Discover之类的银行还是不行,虽然Chase最近开始支持Passkey了 Fidelity可以把TOTP放到YubiKey,Charles Schwab得捣鼓一下绕开Symantec VIP才能存到YubiKey,也不是非常方便

--- 第 25 楼来自 gedeepege 的回复 (2026-04-23 17:53:08 PDT) ---

Alaska Air: 我求你少说点吧

--- 第 26 楼来自 nick.gr.2019 的回复 (2026-04-23 17:58:31 PDT) ---

明显有实体店的才高危…

--- 第 27 楼来自 诸葛亮 的回复 (2026-04-23 17:59:31 PDT) ---

BankOfAmerica: 骗子去忽悠运营商 开个新sim卡 需要身份验证··· 所以用的手机SIM最好别在自己名下···· 你的账号都用P2名下手机号,P2账号用你名下手机号。 Solved。

--- 第 28 楼来自 诸葛亮 的回复 (2026-04-23 17:59:57 PDT) ---

nick.gr.2019: 有实体店 对 有实体店的才是高危。

--- 第 29 楼来自 maruha 的回复 (2026-04-23 18:01:10 PDT) ---

你说的也没错,目前战绩最牛逼的是小型虚拟运营商同时下放权限给一堆加盟商小店的lycamobile 但正规三家表现还算挺可以的

--- 第 30 楼来自 002 的回复 (2026-04-23 18:01:35 PDT) ---

缺点就是使用山人妙计时不方便

--- 第 31 楼来自 诸葛亮 的回复 (2026-04-23 18:03:18 PDT) ---

002: 缺点就是使用山人妙计时不方便 非常有道理! /uploads/short-url/rxNg09eF8TujEptIVgjz6tF929x.png?dl=1

--- 第 32 楼来自 tonywush 的回复 (2026-04-23 18:15:57 PDT) ---

IHG笑而不语 四位PIN王者

💰 理财 · 其他高楼

← 返回 💰 理财