问手机克隆的TextKey短信2因素认证安全吗？

EN

我是TextPower的首席执行官，想直接回答你的问题。感谢您花时间整理了一个经过深思熟虑的查询。

我认为你必须后退一步，看看更大的情况。TextPower的2FA产品TextKey的工作基础是你必须拥有手机，包括手机中的SIM卡才能正确认证。如果您实际拥有多部手机，您可以使用其中的任何一部，但只有在TextPower中注册的手机才能使用TextKey 2FA进行身份验证。如果您的手机有可替换的SIM卡(标准GSM手机，如AT&T或those上的手机)，您可以将该SIM卡移动到多个具有可替换SIM卡的设备上。这是因为您实际拥有携带UDID的SIM卡，该UDID是电话用来与网络通信的。请注意，电话号码没有出现在SIM卡中。只有UDID识别物理电话。UDID是一个非常长的唯一号码，是运营商在电话或短信通过他们的系统时所看到的--他们不会“看到”电话号码。

那么，你能从手机上克隆一个SIM，然后使用它吗？从理论上说，是的，但在实践中，从黑客的角度来看，这是极其困难的，也是极不实际的(也是不可能的)。为什么？因为要克隆SIM，你必须偷别人的手机，移除SIM卡，然后访问一个可以制作SIM卡的刻录机。你得有一张空白的SIM卡。当你做到这一点时，主人可能会报告手机被盗，他们的运营商将使UDID失效，将您被盗的SIM卡视为无用，除了为警方提供了一个很好的方法来跟踪和逮捕您。(以这种方式逮捕的罪犯人数现在相对较多。)失窃手机/SIM卡的所有者也可以通过在TextPower上注销他们的手机来阻止你。

此外，你可能会认为你可以偷别人的SIM卡，克隆它，然后在原来的设备中更换它，而业主不知道。不幸的是，在这种情况下，除了上面段落中列出的所有问题之外，您还会产生一些其他问题。(当然，你首先要设法偷取设备，克隆SIM卡，然后在主人不知情的情况下更换它--这不是一件容易的事情，但我们现在就让它过去吧。)在这种情况下，您创建的另一个问题是，如果您设法窃取并返回的原始设备在使用被盗/克隆的SIM卡为设备供电时打开了电源，则由于重复的UDID会导致网络注册失败(是的，运营商非常密切地监视这些设备)。如果你偷来的设备是先打开电源的话，那么SIM卡的真正主人就无法注册他们的设备。他们可能会很快向他们的承运人报告这一点，后者会发现重复的UDID，然后使其失效。

TextKey绝对无懈可击吗？我们当然不会这么说。与任何身份验证方案一样，有一些理论上的方法可以打破它。然而，在实践中，打破它的方法是超出任何人的范围，没有巨大的资源和意愿使用重大盗窃和承担相当大的风险。这就是为什么，虽然我们不提倡TextKey是“不可破解的”，但我们确实认为它比其他2FA方法更安全，尤其是那些使用移动端短信将代码发送到电话的方法，从而将身份验证过程打开到有关网站上的MITM/MITB浏览器攻击。

我希望这能清楚地回答你的问题。我很高兴回答您可能有的任何更详细的问题或关切，并真诚感谢您的兴趣。

阅读他们的网站，似乎他们与手机运营商有合作关系，他们识别短信发送者(所以我假设你发送短信而不是接收他们的短信)，基于绑定到他们SIM的唯一ID (很可能是ICCID)来绕过来电者ID欺骗。

这比发送普通文本更安全(任何人伪造数字都会被认证)，但仍然是不安全的，因为GSM缺陷将允许靠近手机的任何人伪造它(而且它对运营商来说是不可见的，因此UUID将是相同的)。

更别提载波的漏洞了，因为这个系统完全建立在信任载波而不是撒谎的基础上。我为其中一个工作过，似乎在幕后所发生的事情，这并不漂亮，如果已经安装了恶意软件在一些关键的机器上，可以管理网络设备的访问，我也不会感到惊讶。腐败的雇员也很容易破坏这个系统。

既然我们已经有了可用岩石-固体方法，为什么还要经历这么多麻烦呢？除了它的安全方面，这也有需要网络连接的缺点，用户需要成为伙伴载体的用户，并连接到他们的网络--对居住在国外或旅行的人来说是行不通的。