SMS 2FA 不仅不安全,对山区居民也不友好

2025年5月14日

我有个朋友,她是位老太太,在北卡罗来纳州西部山区土生土长。她讨厌电脑,这是真的,但在加入我们当地社区用来保持联系的大的 Signal 群聊后,她愿意快速学习很多东西。

除了在群聊里和大家一起玩梗之外,她还在自己建造的房子外面维护着一个大鱼塘。要知道她已经70多岁了。她是个榜样。

她有一部座机。它运行良好,座机电话硬件与她的助听器配合得很好。她已经用了好几年了。 Spectrum 在我们地区拥有垄断地位,所以座机和她的有线网络服务都来自 Spectrum。

几年前她买了一部手机。她买了一部智能手机,基本上是因为她必须这样做才能完成基本的生活任务,包括加入大型 Signal 群聊。起初她只是在 WiFi 上使用它,但很快她决定她想在任何地方都能使用手机,所以她从 Spectrum 购买了一个手机套餐,因为他们已经是她的 ISP。 Spectrum Mobile 使用 Verizon 网络,以其良好的农村覆盖而闻名。

事情从这里开始变得糟糕。

她在网站上的所有帐户,比如电子邮件、银行帐户、健康保险和医疗保健提供商,都开始尝试向她发送 SMS 消息,以便让她进入她的帐户。

SMS 验证码不起作用,因为它们根本收不到。她的房子没有手机信号。当然,它位于山区,但它并不 孤立。她住在距离 Asheville 市中心 20 分钟路程的地方,并且在她的道路上有很多邻居。

她在手机上打开了 WiFi 通话。现在她可以收到来自朋友和家人的 SMS 消息,但 2FA 验证码仍然无法收到。我做了一些调查,发现来自 5 位数短号码的消息通常不支持通过 WiFi 通话接收。有时可以,但在她的情况下显然不行。她拥有一部最新的、原装的 iPhone。她正在使用 Spectrum 提供的互联网硬件。她知道如何使用她的手机。

我做了更多的调查 —— 事实证明,一些 ISP 提供的座机服务支持接收发送到座机的 SMS 消息,然后电脑语音会将其读给你听。“我们不提供这项服务”,Spectrum 客服告诉我们。

这些帐户中的一些可能可以转换为使用 TOTP 2FA 而不是 SMS 2FA。这很好,但是你必须先登录才能开启它。所以我的朋友必须做的是:

  1. 随着时间的推移,列出她因 SMS 2FA 而被锁定的网站列表
  2. 在她制作列表的整个过程中,无法在家中使用这些网站
  3. 安排与像我这样的朋友见面
  4. 开车进城与朋友见面
  5. 坐下来系统地浏览网站列表,并将它们转换为 TOTP
  6. 不可避免地发现其中一些不支持 TOTP
  7. 尝试联系这些公司,并解释说他们需要关闭她帐户上的 SMS 2FA,以便她可以在家中使用他们的医疗保健/银行/电子邮件/任何服务
  8. 发现 2025 年已经不可能与公司交谈

她可以使用的其他选项包括:

  1. 将她的手机号码转移到支持通过 WiFi 从短代码接收 SMS 的 VOIP 提供商
  2. 花费数百美元在她家外面安装一个手机信号增强器
  3. 搬家

这些都是荒谬的选择,为了登录一个网站,根本不应该需要这样做。

如果你查看 Spectrum Mobile 在我朋友居住地的覆盖地图,它显示她的房子有完美的覆盖。她的所有邻居也是如此。事实上,一直到山谷尽头都是如此!

这根本不是真的。她通常甚至在离家 100 米的地方都没有信号。

我的另一个住在郊区的朋友,一个千禧一代,曾经说过“SMS 2FA 是 [她] 的噩梦。” 她所在的那个山谷甚至不是那么深。

而且,显而易见的替代解决方案 TOTP,仍然很糟糕。你必须下载一个应用程序才能使用它,它不是手机默认就有的功能。然后在尝试找到一个应用程序来使用时,你会面临许多高风险的选择,而且如果你开始在网上搜索要使用哪个应用程序,通常会有非常技术性的解释。

我理解为什么 SMS 2FA 如此普遍。当它工作时,用户体验很好,非技术用户可以直观地理解它,而且它通常足够安全 _。

但是,在北卡罗来纳州西部山区有 110 万人,在阿巴拉契亚山脉的其他地区有 2500 万人,在西部山区和太平洋山脉还有数百万人口。

我们有互联网,但是我们的手机服务是 F 级的 —— 我们应该怎么办?

发布于 writefreely