它在某些方面比密码更安全，但正如您所描述的，它也使帐户更容易受到其他攻击媒介的攻击。

作为最佳实践，正确实施的双因素身份验证可提供比单因素更高的安全性，无论该单因素是记忆密码还是“按需”密码。

降低对基于 Internet 的攻击的脆弱性

但是，我可以看到雅虎实施这种替代身份验证系统的逻辑，因为垃圾邮件发送者、自动电子邮件黑客机器人和人类黑客访问雅虎帐户的主要方式之一是通过密码重用。雅虎电子邮件是一项已经存在很长时间的大型服务；它的许多持续用户并不精通技术。因此，他们经常在不同的网站上重复使用密码；甚至用他们的雅虎电子邮件注册。然后他们的帐户被盗用，我们会看到垃圾邮件、诈骗请求（“我被绑架了，请电汇”电子邮件等）等等。

此外，典型的恶意软件攻击（例如键盘记录器和密码拦截）将无法访问该帐户，因为密码只能使用一次；并且一旦过期，远程系统将无法访问。这减少了恶意方访问他人电子邮件的非常常见方法的漏洞。

因此，如果这些用户切换到这种基于电话的密码系统，这些攻击向量将在很大程度上被消除。

增加对物理攻击的脆弱性

然而，正如您所指出的，这开辟了一个全新的攻击媒介，即如果用户的手机遭到入侵，则可以轻松访问他们的帐户。这将攻击向量从远程（来自其他国家的基于互联网的黑客攻击）更改为物理黑客攻击。因此，任何可以物理访问您未锁定设备的人都可以从另一台计算机访问您的电子邮件。然而，用户通常会将他们的电子邮件与他们的手机同步，因此如果是这种情况，任何有权访问该设备的人也可以简单地从手机中读取电子邮件。

短信安全

还有短信安全问题。如果只需要 SMS 提供的代码即可登录，那么它很容易受到各种窃听攻击——尤其是来自提供给美国执法机构的“Stingray”设备。此外，正如您所指出的，还有一种不太复杂的物理攻击，即窃取 SIM 卡（并可能克隆它）并将其插入另一个设备并触发消息。这开辟了一个全新的攻击向量，但由于攻击者必须在物理上靠近（或有设备靠近）目标，所以它再次被定位。双因素身份验证没有此漏洞，因为其他因素（例如密码）不会受到相同的攻击。

政府有更有效的方法

在政府方面，通常他们可以通过合法手段从提供商那里获取数据，这样他们就不太可能通过黑客攻击基于 Web 的电子邮件帐户；并且要么从提供者那里获取信息，要么强制目标交出密码或数据。

使用双重身份验证作为最佳实践

但是，如果用户想要真正采取他们合理的最佳措施来保护他们的电子邮件安全，那么使用双因素身份验证是最好的选择，并且不应该依赖单一因素，无论它是什么。