问当硬件2FA都可用时，使用硬件2FA是否比使用SMS更有优势？

EN

责任。

如果银行为您提供两个级别的安全性，而您选择的是较低的安全级别，那么您将接受较低的安全性。如果这种较低的安全性受到损害(正如熊说的那样)，那么您将承担这一责任。

有一个法庭案件(在美国)，一家银行提供2FA，而客户根本没有选择使用它。当事人的钱被偷了。银行拒绝赔偿他们，并声称当他们不使用2FA时，客户承担了这一责任。法庭同意。当事人上诉(待决)。

所以，如果你是客户，你总是采取HW2FA，有人黑客通过短信，那么你有一个更好的法律辩护。

(有时安全问题与安全无关，而是法律问题。)

SMS在本质上并不像HOTP这样的本地运行的算法那么安全；网络中总是存在着妥协的可能性。然而，对大多数人来说，这并不是他们的威胁模式。

就我个人而言，我不使用SMS作为第二个因素，因为它不在我的设置。我一直使用谷歌语音，现在使用谷歌菲，所以我的短信也可以通过我的谷歌帐户访问。这不再使它成为一个“你拥有的东西”，而只是另一个“你知道的东西”。

基于硬件的令牌对基于电话的令牌(甚至是HOTP/TOTP应用程序)有额外的保护，因为它们的硬件操作要简单得多:与Android手机相比，使用Yubikey要困难得多。