Why It’s Time to Ditch SMS Codes: Switching to Authenticator Apps to Stop SIM Swapping

想象一下，明天早上醒来，伸手去拿手机。

你期待看到通知、电子邮件，或许还有朋友发来的短信。

相反，你在顶部角落看到了“无服务”。

你以为只是个小故障。你重启了手机。依然什么都没有。

你试图在笔记本电脑上登录邮箱来报告这个问题。

但是你的密码无法使用了。

你点击“忘记密码”。网站提示已向你的手机号码发送了恢复代码。

但你没有收到短信。其他人收到了。

这不是科幻电影的情节。这就是 SIM Swapping（SIM 卡交换攻击）的现实，而且其发生率正以惊人的速度上升。

多年来，我们一直被告知双重认证（2FA）是安全的黄金标准。

确实如此。

但并非所有的 2FA 都是生而平等的。

如果你仍然依赖 SMS 短信来接收登录代码，那么你就相当于向外界敞开了数字生活的大门。

在 My Core Pick，我们痴迷于优化你的数字工具包。

今天，我们将解释为什么短信验证已不再安全，究竟什么是 SIM 卡交换攻击，以及如何使用身份验证器应用（Authenticator App）锁定你的账户。

The Silent Threat: What is SIM Swapping?

要理解为什么我们需要更换工具，首先需要了解威胁所在。

SIM 卡交换攻击是一种身份盗窃形式。

它的技术含量出奇地低。

黑客不需要物理接触你的手机。

他们不需要在你的设备上安装恶意软件。

他们只需要欺骗你的移动运营商。

How the Attack Works

攻击者会收集关于你的一点信息。

这可能来自数据泄露、社交媒体或网络钓鱼邮件。

他们拨打你移动运营商的客户支持热线。

他们假装是你。

他们声称丢失了手机或买了新手机，需要激活新的 SIM 卡。

如果客户支持专员相信了这个故事，他们就会将你的电话号码“移植”到黑客的 SIM 卡上。

The Immediate Consequence

在那次切换发生的瞬间，你的手机就死机了。

黑客的手机现在接收你所有的电话和短信。

他们立即前往你的银行、邮箱和加密货币交易所。

他们点击“忘记密码”。

当服务发送 SMS 验证码时，它会直接发送给黑客。

他们更改你的密码并将你锁定在外。

这一切在几分钟内就会发生。

Why SMS 2FA is the Weakest Link

你可能会想，既然 SMS 如此脆弱，为什么它还是一个选项。

答案是便利性。

每个人都有电话号码。每个人都知道如何阅读短信。

但是 SMS（短消息服务）是 20 世纪 80 年代建立的。

它从未被设计为传输敏感银行信息的安全通道。

The Protocol Problem

SMS 消息通常不是端到端加密的。

它们通过可能被拦截的陈旧信令协议传输。

但最大的缺陷不是技术本身。

而是人为因素。

你的安全完全依赖于移动运营商门店里拿着最低工资的客户支持专员。

如果他们能被欺骗（或被收买），你的安全防线就会瓦解。

我们相信，你的安全应该掌握在 你自己 手中，而不是电信提供商手中。

这就是为什么我们需要不再将电话号码作为身份标识。

Enter the Authenticator App: Your Digital Bodyguard

那么，替代方案是什么？

答案是 Authenticator App（身份验证器应用）。

你可能听说过 Google Authenticator 或 Microsoft Authenticator。

这些应用生成基于时间的一次性密码（TOTP）。

这听起来很复杂，但用户体验实际上比短信更快。

How It Works

当你设置身份验证器应用时，你扫描网站（如 Gmail 或 Amazon）提供的二维码。

这在特定设备和网站之间建立了秘密链接。

然后应用会生成一个 6 位数的代码。

关键的区别在于：代码每 30 秒变更一次。

代码是在你的设备本地生成的。

它不需要蜂窝信号。

它不需要 Wi-Fi。

它不在乎你的电话号码是多少。

即使黑客通过 SIM 卡交换窃取了你的电话号码，他们也无法生成代码。

他们需要你已解锁的物理手机才能进入。

这是一个巨大的安全升级。

My Core Pick: The Best Authenticator Apps to Use

如果你搜索应用商店，你会发现几十种选择。

有些很棒。有些充满了广告。

我们测试了最流行的选项，以帮助你选择适合你工作流程的应用。

1. Google Authenticator

这是身份验证应用的鼻祖。

它极其简单。

历史上，它最大的缺陷是如果你丢失了手机，你就丢失了代码。

不过，Google 最近添加了云同步功能。

如果你深度使用 Google 生态系统，这是一个稳健、朴实的选择。

2. Microsoft Authenticator

如果你在工作中使用 Outlook 或 Office 365，请使用这个。

对于 Microsoft 账户，它提供“推送”通知。

你甚至不需要输入代码；只需在手机上点击“批准”。

它还包含一个内置的密码管理器，虽然你不必使用该功能。

它功能强大、可靠且具有企业级水准。

3. Twilio Authy

很长一段时间以来，Authy 都是技术爱好者的最爱。

它的主要卖点是出色的多设备支持。

你可以将它安装在手机和平板电脑上。

如果你丢失了手机，只需撤销该设备的访问权限并使用平板电脑即可。

界面干净且用户友好。

它独立于大型科技巨头，这是一些隐私倡导者所偏爱的。

4. 1Password or Bitwarden

如果你想要极致的便利，看看你的密码管理器。

像 1Password 和 Bitwarden 这样的高级密码管理器内置了 TOTP 生成器。

当你登录时，密码管理器会自动填写你的用户名、密码 以及 2FA 代码。

这创造了无缝的登录体验。

然而，这里存在一个安全权衡。

如果你将密码和 2FA 代码放在同一个篮子里（密码管理器），从技术上讲，你就将其降级为单因素认证了。

对于高价值目标（如银行），我们建议将 2FA 代码保存在单独的应用中。

对于一般账户（如 Netflix 或 Reddit），使用密码管理器完全没问题且非常方便。

How to Make the Switch (Without Getting Locked Out)

从 SMS 切换到应用感觉令人生畏。

你可能担心将自己锁定在账户之外。

我们有一个简单的工作流程，可以让这一切变得轻松。

不要试图在一天内处理完所有账户。

从你的“核心三个”开始：你的电子邮件、你的银行和你的密码管理器。

Step 1: Login and Locate

登录服务（例如，你的 Google 账户）。

转到安全设置。

寻找“两步验证”或“双重认证”。

Step 2: Add the App BEFORE Removing SMS

暂时不要删除你的电话号码。

选择“设置身份验证器应用”选项。

屏幕上会出现一个二维码。

打开手机上选定的应用并点击“+”按钮。

扫描屏幕。

Step 3: Verify and Test

网站会要求你输入手机上显示的 6 位数代码以确认其工作正常。

验证通过后，注销并重新登录。

使用应用代码确保一切运行顺畅。

Step 4: The Cleanup

一旦确认应用工作正常，回到设置页面。

如果网站允许，请移除作为 2FA 方法的电话号码。

有些银行强制要求保留档案中的号码，但如果可以移除，请移除。

这确保了如果你的 SIM 卡被交换，黑客无法通过短信请求代码。

The Vital Step Everyone Forgets: Backup Codes

身份验证器应用存在一个主要风险。

如果你把手机掉进海里怎么办？

由于代码是在设备上生成的，你可能会被锁定。

这就是为什么 Backup Codes（备用码或恢复码）至关重要。

Printing Your Keys

当你在网站上设置 2FA 时，它们几乎总是会向你显示一个包含 8-10 个“备用码”的列表。

他们会告诉你打印或保存它们。

切勿忽略此屏幕。

这些是一次性使用的万能钥匙。

如果你丢失了手机，可以使用其中一个代码进入账户并设置新手机。

Storage Strategy

把这些代码打印出来。

将它们放在家里的物理文件夹中，或防火保险箱里。

或者，将它们作为安全笔记保存在加密的密码管理器中。

不要只是截个图然后留在桌面上。

像对待家门钥匙一样对待这些代码。

Conclusion: Take Control Today

我们生活在一个数字身份与物理身份同等重要的时代。

依赖 SMS 短信进行安全保护，就像锁上了前门却把钥匙放在脚垫下。

这可能会挡住诚实的人，但挡不住正在寻找它的罪犯。

过渡到身份验证器应用每个账户只需几分钟。

但内心的安宁是永久的。

你不再依赖移动运营商来保护你。

你开始掌控自己的安全。

从上面的列表中选择一个应用。

今天就从你的主电子邮件账户开始。

进行切换。

未来的你（以及你的银行账户）会感谢你的。