2024年12月18日，美国网络安全与基础设施安全局（CISA）发布了针对iPhone和Android用户的最新安全提醒，要求停止使用SMS（短消息服务）验证码作为双因素认证（2FA）的验证方式。此举是对近期“盐台风”网络攻击事件的进一步回应，该事件揭示了黑客通过窃取SMS验证码访问美国网络的风险。

强烈建议使用端到端加密通讯CISA建议用户转向使用端到端加密通讯工具，如Signal或其他类似应用程序，这些工具提供更高的安全性和隐私保护。SMS消息并不加密，一旦被黑客截获，信息内容就可能泄露，因此不应再作为认证的第二因素。CISA强调，SMS验证码无法防止钓鱼攻击，对于高风险账户尤其不安全。

双因素认证（2FA）要求更高标准除了放弃使用SMS外，CISA还要求实施“抗钓鱼的FIDO认证”作为更安全的认证方式。FIDO认证需要依赖用户硬件设备进行物理认证，例如通过硬件安全密钥（如Yubico或Google Titan）。FIDO认证被认为是目前最有效的认证方式，虽然FIDO通行证（passkeys）也是可接受的替代方案。

保护SIM卡和手机安全除了改变认证方式，CISA还建议用户设置PIN码以保护手机、SIM卡和运营商服务（如语音信箱）。这一PIN码是进行账户登录或处理敏感操作时的必要步骤，尤其是在防范SIM卡交换攻击时发挥重要作用。

随着网络安全威胁的日益增加，美国政府加强了对双因素认证的安全要求，特别是在应对SMS验证码带来的风险方面。CISA的最新指导意见为政府官员提供了深入的安全措施，并且这种做法应当广泛推广，以确保各类用户的账户安全。

ref：

https://www.forbes.com/sites/zakdoffman/2024/12/18/feds-warn-android-and-iphone-users-stop-using-sms-for-2fa/