拥有多个身份验证因素总是比任何一个因素都更安全。

SMS 消息中的密码和令牌比仅通过 SMS 发送的密码或令牌更难被攻击者规避。

但是，SMS 本身目前被认为是最不安全的身份验证方法，并且似乎没有任何方法可以使其更安全。绝不应将其用作唯一的身份验证方法。

一个人的手机号码可以在用户不知情的情况下重新分配给不同的设备。这可以通过针对技术支持代表的社会工程来完成，也可以通过任何手机商店的恶意（贿赂）代理来完成。

在您的示例中，仅通过 SMS 消息来验证帐户所有权以重置密码，如果攻击者可以将您的号码重新分配给他们的手机，他们就可以控制这两个因素。谷歌和其他几个大型网站有额外的措施来防止这种情况，例如向帐户所有者发送电子邮件。然而，这一直是过去丢失几个账户的原因，其中包括一些从使用在线交易和钱包网站的人那里盗取价值数百万美元的比特币的情况。

如果可以通过 SMS 获得密码重置令牌，然后使用（重置）密码 + SMS OTP 登录，则该站点没有 2FA。它可能声称确实如此，但它是错误的，因为攻击者可以在只有一个身份验证因素（访问您的 SMS）的情况下达到身份验证状态。

真的就是这么简单。这引发的实施问题似乎更复杂（尽管在这种情况下，它们不是；只需像其他人一样使用电子邮件密码重置令牌！）但简单的事实是，像您描述的系统没有 2FA .

1. 访问您的 SMS 比访问您的密码要复杂得多。这就是为什么即使在某些网站上可以通过短信重置密码，它仍然比密码更安全。

2. 你怎么能破解密码？例如，您的计算机上有一些恶意软件可以读取您的密码数据库，从而知道网站、用户名和密码。黑客事先不需要您的任何信息。你只是黑客的随机受害者。拦截短信不会提供任何信息，因为您使用了哪些站点和用户名。这就是为什么只有在黑客事先知道您的站点和用户名的情况下入侵您的 SMS 消息才有意义。这意味着当黑客想要入侵时，即您，而不仅仅是某个随机的人。但如果 想要破解你，那么你应该期待更严重的措施，比如在你的房子和汽车中安装特殊硬件。那么你几乎没有任何机会。