为什么银行的身份验证仍然如此糟糕？（It's 2025）

Why are banks still getting authentication so wrong?

Source | HN Comments

文章批评了银行在2025年仍使用落后的身份验证方式，特别是基于短信的双因素认证（SMS-based 2FA），指出其不安全且用户体验差。作者以自身经历为例，强调了这种方式在国际旅行等场景下的失效问题。文章呼吁银行采用更安全的现代身份验证方法，如 passkey、TOTP、硬件安全密钥等，并强调安全性和可用性并不冲突。文章最后提到，TD银行等机构仍未改进，并暗示未来去中心化身份验证可能带来变革。

Jamal Habash

Home Posts

It's 2025—为什么银行的身份验证仍然如此糟糕？

_ 2025年5月13日 _

最近我去美国旅行，我的 TD 个人银行账户完全被锁住了。

TD 主要依赖于基于短信的双因素身份验证 (SMS-based 2FA) 来进行客户登录。我非常合理地禁用了我的加拿大 SIM 卡，以避免通常的高价和漫游费。

幸运的是，我安装了他们专有的 “TD Authenticate” 应用程序，以为它可以作为可行的替代方案。但是当我打开 TD Authenticate 时，我发现我已经退出了登录，而重新登录需要，你猜对了，一条发送到我无法访问的加拿大号码的短信。

我有身份验证应用程序。我有我的凭据。但是系统的设计造成了一个无法逃脱的第 22 条军规般的困境。

这是一个教科书般的案例，说明了安全反而惩罚了用户，而不是保护他们。

TD 不提供 TOTP 支持。没有 passkey。没有备用电子邮件验证。只有一个脆弱的、封闭的循环，只有一个故障点，而且在一个非常可预见的情况下完全失效。

尽管数字身份和身份验证标准已经取得了多年的进展，但许多加拿大金融机构仍然停留在脆弱、过时的身份验证流程中，这些流程在安全性和可用性方面都失败了。

就 SMS-based 2FA 而言，它不仅不方便，而且具有积极的危害性。

SMS-Based 2FA 的问题

长期以来，短信作为安全的第二因素已经声名狼藉。

早在 2017 年，NIST 就明确不鼓励使用短信来传递一次性代码。 CISA 将其描述为 “最后的 MFA 选项” 和 “组织过渡到更强大的 MFA 实施时的临时解决方案。”

问题在于，SMS-Based 2FA 使客户容易受到网络攻击，因为威胁参与者可以利用协议漏洞并使用社会工程手段来：

拦截通过短信发送的 2FA 代码
通过 SIM 卡交换控制用户的电话号码。
欺骗用户，使其通过网络钓鱼泄露其 2FA 代码。

在 2023 年，Canadian Centre for Cyber Security 重申了这一信息，称：

“仅考虑将短信服务 (SMS) 代码作为低风险登录的身份验证因素。短信是不安全的，因为代码以未加密的形式发送。越来越多的网络攻击涉及威胁参与者通过 SIM 卡交换、网络钓鱼或其他社会工程攻击来拦截短信代码。” https://www.cyber.gc.ca/en/guidance/steps-effectively-deploying-multi-factor-authentication-mfa-itsap00105

我不认为有人认为银行账户是“低风险”的。然而，我们仍然依赖短信作为默认的，有时甚至是唯一的，2FA 选项。

专有 OTP 应用程序：充其量只是略有改进

为了超越短信，一些银行（包括 TD）推出了他们自己的专有 OTP 应用程序，而不是采用开放的 TOTP 标准 (RFC 6238)。

结果呢？安全性略有提高。可用性明显下降。

这些应用程序通常：

不与密码管理器或平台验证器集成。
需要先登录才能生成代码，这违背了验证器应用程序的目的。
不支持硬件令牌或现代 passkey。

更糟糕的是，这些应用程序通常成为借口，成为避免实施真正发挥作用的开放、可互操作标准的理由。

2025 年良好的身份验证是什么样的

2025 年的现代身份验证流程应围绕强大、用户友好、基于标准的机制构建：

Passkey (FIDO2/WebAuthn): 使用生物识别技术的、抗网络钓鱼的、基于设备的登录。出色的用户体验和安全性。
TOTP 支持：让用户使用任何标准验证器（Authy、Google Authenticator、Microsoft Authenticator、1Password 等）。
硬件安全密钥：FIDO2 密钥，如 YubiKey，适用于希望获得最大保证的用户。
安全恢复路径：受信任的设备或恢复代码，而不是短信。
密码管理器兼容性：在受信任的密码管理器和操作系统钥匙串中实现无缝自动填充和 passkey 支持。

安全不应惩罚用户

身份验证流程常常让人觉得它们是在真空中设计的，由孤立的安全团队和产品经理设计，根本不考虑用户。如果一个系统在常见场景（如国际旅行）中出现故障，那么它就不是一个安全的系统。它是一个敌对的系统。

银行必须做得更好

TD 并不是唯一的罪魁祸首，但它是一个如何在 2025 年不做身份验证的明显例子。拒绝支持 passkey 或 TOTP 等基本标准不仅仅是不便，而是一种安全责任，它会积极地损害用户并破坏信任。现在没有任何借口了。标准已经存在。风险已得到充分记录。如果您的身份验证流程仍然依赖于短信和一个脆弱的专有应用程序，那么早就应该进行一次认真的改革了。安全性和可用性并非互斥。要同时实现这两者，就需要系统在设计时具有能力、远见和对用户体验的实际考虑。

附言：三年后，仍然没有修复

顺便说一句，那次去美国的旅行发生在三年前。从那时起，没有任何改变。

我已经通过电子邮件向 TD 反映了这个问题（基本上说了我在这篇博文中说的话），让我们看看他们怎么说。

而且，说实话，整个对话只是触及了表面。真正的进展始于我们谈论 Self-Sovereign Identity、DIDs 和去中心化身份验证基础设施的时候。

但那是另一篇博文的内容了。

而且，别让我开始抱怨登录加拿大税务局的账户。