问Amazon2FA:泄露电子邮件会导致2FA的妥协，例如删除另一个因素？

EN

这是一个合理的攻击矢量吗？

很多消费网站的安全措施都是建立在信任链上的。他们信任你确保你的主要接触方法是正确安全的。他们需要一个主要的联系，在大多数情况下是你的电子邮件地址。所有密码重置，帐户管理，通知等都要经过这个过程。

考虑到亚马逊的规模和拥有足够多技术人才来建立和管理先进的多因素公司，我认为让他们的2FA尽可能简单是一个商业决定。毕竟，如果您的电子邮件帐户被破坏，这不是他们的问题，这将是一个强制性的步骤，然后禁用他们的2FA。

为了完全安全，我会采取额外的步骤，以确保最后一步的信任链，即你的电子邮件帐户。Google刚刚发布了一个非常好的功能，它创建了一个需要扩展检查才能重置的多因素的auth系统。您可能没有使用谷歌帐户，但它是一个很好的例子，如何做到这一点。

在这里查找更多信息：https://landing.google.com/advancedprotection/

你错过了一个因素:你的手机。

尽管你手机上的2FA代码生成器不再工作，但你仍然控制着你的手机。这一点在Amazon给您打电话时得到了验证，而不是您给他们打电话。

为了接收来自Amazon的电话，对手需要对您的设备进行物理访问，或者以某种方式拦截该呼叫。如果对手对你的设备有实际的访问权限，你无论如何都会被发现的。如果没有电话/蜂窝基础设施，唯一能拦截我所知道的电话的方法就是如果他们有正确的SIM卡。这就需要窃取你的，这也需要你的设备上的手，一旦你试图访问互联网会很快被注意到，或者黑客你的(见2013年这是关于年的一个弱点)。

我还听说，社交工程正被用于手机供应商，以获得替换的SIM卡。一段时间前，一个流行的YouTube频道声称这发生在他们身上。我不记得谁和我找不到视频，所以我可能在这一点上是错误的。

所以，虽然这是一个攻击媒介，但它只不过是有人已经拿着你的手机了。