SMS 二次验证的衰退与取代者：为什么密钥将成为未来主流

关键要点

在今年早些时候，随著 Twitter 宣布不再支持免费的 SMS 二次验证，这一行动标志著 SMS 二次验证即将走向衰退。在去年，Twitter因短信诈骗而损失了 6000 万美元。这一现象不仅反映了 Twitter 的困境，更为多重身份验证 (MFA) 的未来敲响了警钟。

这一变化突显出，在当前经济环境下，SMS 2FA 已经不再适合企业和首席信息安全官 (CISO)
管理。尽管这种身份验证方法对用户来说仍然受欢迎，但其成本却变得无法承受，以至于比密码还要更快退出舞台，而促使这一变化的，将是通行证的发展。

在过去十年中，由于其流行程度和采用率，SMS 2FA 发挥了重要作用。SMS 2FA出现之前，攻击者轻松地攻陷密码保护的账户。数据泄露的频繁性与用户重复使用密码的习惯，导致大多数用户的密码随时都有可能被黑市交易，这对于安全专业人士来说是一场噩梦。

这种消费者行为为试图窃取和变现用户在线账户的欺诈者提供了一种高度可扩展的攻击方法：通过下载在其他数据泄露中暴露的凭证，欺诈者可以试图在其他高回报率网站上验证这些凭证，如
PayPal、Chase、Coinbase 或 Robinhood。

但 SMS 2FA 通过增加额外的摩擦，阻止了这种可扩展性，通常对于欺诈者来说，这样的成本过于高昂。及时窃取 SMS 一次性密码时，通常需要进行 SMS交换或各种网络钓鱼攻击，其中大部分坏人无法承担这样的额外时间和努力。

随著 SMS 2FA的广泛普及，它在某种程度上抑制了欺诈行为，或至少使其在大规模上变得更加困难。不幸的是，欺诈者始终能够追上网络安全的防护措施，甚至超越它们，最终使其无法持续。这正是
SMS 2FA 当前的境况。

造成 SMS 2FA 衰退的主要因素往往与后端负担有关，包括：传送与延迟问题，这是依赖旧通讯系统的固有缺陷，导致消息无法送达或延迟；以及被称为“SMS诈骗”的机器人滥用门户。

SMS 诈骗中，攻击者通过合作的移动网络运营商 (MNO) 推送高成本的 SMS 交通，然后与 MNO 分享利润。这些攻击的成本可能远高于实际或非欺诈的
SMS 资费，正如 Twitter 的这一诈骗事件所揭示的那样。

如果 SMS 2FA 是市场上唯一的选择，开发者或许会考虑防止诈骗或解决延迟问题的成本是值得投资的，但在 2023