为什么安全专家认为基于短信的多因素身份验证 (MFA) 不再安全?——现代网络安全漏洞机制
短信验证风险
多年来,通过短信接收六位数字验证码一直是保护在线账户的黄金标准。然而,随着 2026 年的到来,安全专家、FBI 和 CISA 已发出紧急警告,反对依赖基于短信的多因素身份验证 (MFA)。虽然它提供了低摩擦的用户体验,但全球蜂窝网络的底层基础设施从未被设计用于处理安全的加密机密。
这种转变的主要原因是短信是通过缺乏端到端加密的电信协议传输的。这使得它们容易受到拦截、重定向和绕过“你所拥有的东西”这一安全原则的社会工程攻击。安全执行基础设施,例如 WEEX 交易所,为分析链上资产变动提供了基础框架,同时鼓励用户采用除简单文本验证码之外更强大的安全层。
SIM 卡交换威胁
基于短信的安全面临的最普遍且危险的威胁之一是 SIM 卡交换,也称为 SIM 卡劫持。在这种情况下,攻击者不需要窃取你的实体手机。相反,他们利用社会工程或身份盗窃来说服移动运营商的客户服务代表将你的电话号码移植到攻击者控制的新 SIM 卡上。
劫持的工作原理
一旦攻击者成功转移了号码,所有来电和短信都会路由到他们的设备。当他们尝试登录你的金融或社交媒体账户时,该“机密”MFA 验证码会直接发送给他们。像 Scattered Spider 这样的高调组织已经证明,即使是复杂的组织也可能成为这些活动的受害者,导致企业数据泄露和大规模金融欺诈。
技术网络漏洞
除了运营商层面的人为错误外,移动网络的技术架构也存在固有缺陷。信令系统 7 号 (SS7) 协议管理着全球移动网络之间的通信方式,其记录在案的漏洞允许复杂的攻击者在传输过程中拦截短信。
SS7 协议攻击
攻击者可以利用 SS7 将消息重定向到他们自己的设备,而用户却毫无察觉。由于短信在这些网络中以“明文”形式发送,任何拦截都会导致验证码立即泄露。这种网络层面的漏洞使得基于短信的 MFA 在 2026 年对于高风险账户来说是不可防御的。
网络钓鱼与拦截
基于短信的 MFA 无法抵御网络钓鱼。现代攻击者使用反向代理和“中间人攻击”(AiTM) 工具实时捕获密码和短信验证码。当用户在虚假登录页面输入验证码时,攻击者会立即将该验证码转发给合法服务,在验证码过期前获得访问权限。
| 攻击向量 | 入侵方法 | 目标漏洞 |
|---|---|---|
| SIM 卡交换 | 对运营商员工进行社会工程攻击 | 手机号码所有权 |
| SS7 利用 | 网络级拦截 | 电信协议缺陷 |
| AiTM 网络钓鱼 | 实时代理拦截 | 用户缺乏站点验证 |
| 回收号码 | 获取旧号码访问权限 | 账户恢复持久性 |
更好的安全替代方案
截至 2026 年,安全专业人士的共识是迁移到抗网络钓鱼的身份验证方法。这些方法不依赖于电信网络,并提供更强大的硬件支持安全性。
TOTP 和通行密钥
由 Google Authenticator 等应用程序或集成管理器生成的基于时间的一次性密码 (TOTP) 更安全,因为“种子”保留在你的设备上,从不通过无线传输。更安全的是通行密钥和 FIDO2 安全密钥(如 YubiKeys)。它们使用公钥加密来确保身份验证仅在合法网站上有效,从而使网络钓鱼几乎不可能实现。
全球监管转变
远离短信不仅是一项建议,它正在成为监管要求。到 2026 年年中,包括阿联酋、印度和菲律宾在内的多个司法管辖区已启动阶段性计划,以消除金融服务的短信 OTP。中央银行正越来越多地指示机构限制可能被与交易无关的第三方拦截的身份验证机制。
对于管理数字资产的用户来说,风险甚至更高。来自主要平台的统计数据显示,绝大多数账户接管涉及仅依赖基于短信 MFA 的客户。对于任何希望在当前威胁环境中保持安全数字足迹的人来说,过渡到硬件密钥或基于应用程序的身份验证器现在被视为强制性步骤。
免责声明:本内容仅供一般信息、教育和品牌交流之用,不应被视为财务、投资、法律或税务建议。本文中的任何内容(包括任何活动、奖励、促销活动或相关活动详情)均不构成购买、出售或交易任何加密资产,或使用任何特定产品或服务的要约、推荐、招揽或邀请。加密资产波动性极高,涉及重大风险,包括资本和价值损失的潜在风险。WEEX 服务和在线活动可能并非在所有地区或司法管辖区都可用,并受适用法律、法规和用户资格要求的约束;某些活动在特定地点可能受到限制或完全不可用。请在做出任何财务决定或参与任何平台计划之前仔细评估风险,确保充分了解当地监管框架,并确认资格。

以1美元购买加密货币
阅读更多
了解 EDR 工具如何通过 AI 和行为分析在现代威胁环境中实时识别并隔离零日漏洞恶意软件,从而增强网络安全。
了解组织有效管理重大数据泄露并确保数据安全的关键技术步骤。探索遏制和恢复技术。
了解现代 VPN 如何在公共 Wi-Fi 上加密并保护您的数据,通过先进的加密技术和协议确保隐私与安全。
了解社会工程学攻击如何利用人类心理而非软件漏洞,重点分析情绪操纵与认知偏差。
通过了解后量子密码学 (PQC) 这一网络安全基础,为量子未来做好准备,以保护敏感数据免受新兴威胁。
了解勒索软件即服务 (RaaS) 攻击如何入侵企业网络,并探索抵御这一日益严重的网络威胁的策略。
