為什麼安全專家認為基於簡訊的多因素身份驗證 (MFA) 不再安全?——現代網路安全漏洞機制
簡訊驗證風險
多年來,透過簡訊接收六位數字驗證碼一直是保護線上帳戶的黃金標準。然而,隨著 2026 年的到來,安全專家、FBI 和 CISA 已發出緊急警告,反對依賴基於簡訊的多因素身份驗證 (MFA)。雖然它提供了低摩擦的使用者體驗,但全球蜂窩網路的底層基礎設施從未被設計用於處理安全的加密機密。
這種轉變的主要原因是簡訊是透過缺乏端到端加密的電信協定傳輸的。這使得它們容易受到攔截、重定向和繞過「你所擁有的東西」這一安全原則的社會工程攻擊。安全執行基礎設施,例如 WEEX 交易所,為分析鏈上資產變動提供了基礎框架,同時鼓勵使用者採用除簡單文字驗證碼之外更強大的安全層。
SIM 卡交換威脅
基於簡訊的安全面臨的最普遍且危險的威脅之一是 SIM 卡交換,也稱為 SIM 卡劫持。在這種情況下,攻擊者不需要竊取你的實體手機。相反,他們利用社會工程或身份盜竊來說服行動運營商的客戶服務代表將你的電話號碼移植到攻擊者控制的新 SIM 卡上。
劫持的工作原理
一旦攻擊者成功轉移了號碼,所有來電和簡訊都會路由到他們的設備。當他們嘗試登入你的金融或社交媒體帳戶時,該「機密」MFA 驗證碼會直接發送給他們。像 Scattered Spider 這樣的高調組織已經證明,即使是複雜的組織也可能成為這些活動的受害者,導致企業資料外洩和大規模金融詐欺。
技術網路漏洞
除了運營商層面的人為錯誤外,行動網路的技術架構也存在固有缺陷。信令系統 7 號 (SS7) 協定管理著全球行動網路之間的通訊方式,其記錄在案的漏洞允許複雜的攻擊者在傳輸過程中攔截簡訊。
SS7 協定攻擊
攻擊者可以利用 SS7 將訊息重定向到他們自己的設備,而使用者卻毫無察覺。由於簡訊在這些網路中以「明文」形式發送,任何攔截都會導致驗證碼立即洩露。這種網路層面的漏洞使得基於簡訊的 MFA 在 2026 年對於高風險帳戶來說是不可防禦的。
網路釣魚與攔截
基於簡訊的 MFA 無法抵禦網路釣魚。現代攻擊者使用反向代理和「中間人攻擊」(AiTM) 工具即時捕獲密碼和簡訊驗證碼。當使用者在虛假登入頁面輸入驗證碼時,攻擊者會立即將該驗證碼轉發給合法服務,在驗證碼過期前獲得存取權限。
| 攻擊向量 | 入侵方法 | 目標漏洞 |
|---|---|---|
| SIM 卡交換 | 對運營商員工進行社會工程攻擊 | 手機號碼所有權 |
| SS7 利用 | 網路級攔截 | 電信協定缺陷 |
| AiTM 網路釣魚 | 即時代理攔截 | 使用者缺乏站點驗證 |
| 回收號碼 | 獲取舊號碼存取權限 | 帳戶恢復持久性 |
更好的安全替代方案
截至 2026 年,安全專業人士的共識是遷移到抗網路釣魚的身份驗證方法。這些方法不依賴於電信網路,並提供更強大的硬體支援安全性。
TOTP 和通行金鑰
由 Google Authenticator 等應用程式或整合管理器產生的基於時間的一次性密碼 (TOTP) 更安全,因為「種子」保留在你的設備上,從不透過無線傳輸。更安全的是通行金鑰和 FIDO2 安全金鑰(如 YubiKeys)。它們使用公鑰加密來確保身份驗證僅在合法網站上有效,從而使網路釣魚幾乎不可能實現。
全球監管轉變
遠離簡訊不僅是一項建議,它正在成為監管要求。到 2026 年年中,包括阿聯酋、印度和菲律賓在內的多個司法管轄區已啟動階段性計畫,以消除金融服務的簡訊 OTP。中央銀行正越來越多地指示機構限制可能被與交易無關的第三方攔截的身份驗證機制。
對於管理數位資產的使用者來說,風險甚至更高。來自主要平台的統計數據顯示,絕大多數帳戶接管涉及僅依賴基於簡訊 MFA 的客戶。對於任何希望在當前威脅環境中保持安全數位足跡的人來說,過渡到硬體金鑰或基於應用程式的身份驗證器現在被視為強制性步驟。
免責聲明:本內容僅供一般資訊、教育和品牌交流之用,不應被視為財務、投資、法律或稅務建議。本文中的任何內容(包括任何活動、獎勵、促銷活動或相關活動詳情)均不構成購買、出售或交易任何加密資產,或使用任何特定產品或服務的要約、推薦、招攬或邀請。加密資產波動性極高,涉及重大風險,包括資本和價值損失的潛在風險。WEEX 服務和線上活動可能並非在所有地區或司法管轄區都可用,並受適用法律、法規和使用者資格要求的約束;某些活動在特定地點可能受到限制或完全不可用。請在做出任何財務決定或參與任何平台計畫之前仔細評估風險,確保充分了解當地監管框架,並確認資格。

以1美元購買加密貨幣
閱讀更多
了解 EDR 工具如何透過 AI 和行為分析在現代威脅環境中實時識別並隔離零日漏洞惡意軟體,從而增強網路安全。
了解組織有效管理重大數據洩露並確保數據安全的關鍵技術步驟。探索遏制和恢復技術。
了解現代 VPN 如何在公共 Wi-Fi 上加密並保護您的數據,透過先進的加密技術和協議確保隱私與安全。
了解社會工程學攻擊如何利用人類心理而非軟體漏洞,重點分析情緒操縱與認知偏差。
透過了解後量子密碼學 (PQC) 這一網路安全基礎,為量子未來做好準備,以保護敏感數據免受新興威脅。
了解勒索軟體即服務 (RaaS) 攻擊如何入侵企業網路,並探索抵禦這一日益嚴重的網路威脅的策略。
