兩個安全級別應該都差不多,但都有薄弱點。大體上,如果手機不出現意外,那這兩個都可以認為是足夠安全的。但是,存在如下可能的風險對於簡訊來說:1.如果sim卡報掛失然後啟用新的卡,那麼簡訊驗證將傳送到新的手機卡上,結果是失密2.運營商具備攔截簡訊的能力,如果整個通訊過程都“被掌控”,結果是失密對於Authenticator來說:1.Authenticator客戶端啟用過程需要用到Google的驗證密碼,而獲取驗證密碼是需要在Web端輸入Google Account的密碼,雖然需要反覆輸入,但都是一個密碼。因此如果隨便找個手機安裝一次Authenticator,應該也可以生成Token(未經驗證,請自行測試可行性)2.Authenticator客戶端畢竟活生生的放在那,如果遭到逆向,核心演算法和流程被逆向複製出來,同時入侵者拿到了初始化的值,也等同於隨時可以生成和你一樣的Token不過上述過程都是非常困難的。總體失密的可能性取決於各個環節失密的可能性,多一個流程,失密的可能性降低,但是多一個驗證路徑,失密的可能性就增加。換言之,P(失密)=P(簡訊失密)+P(Authenticator失密)=P(簡訊驗證環節1 失密)xP(簡訊驗證環節2 失密)……+P(Authenticator1 失密)xP(Authenticator2 失密)……還是那句話:沒有絕對的安全。
兩個安全級別應該都差不多,但都有薄弱點。大體上,如果手機不出現意外,那這兩個都可以認為是足夠安全的。但是,存在如下可能的風險對於簡訊來說:1.如果sim卡報掛失然後啟用新的卡,那麼簡訊驗證將傳送到新的手機卡上,結果是失密2.運營商具備攔截簡訊的能力,如果整個通訊過程都“被掌控”,結果是失密對於Authenticator來說:1.Authenticator客戶端啟用過程需要用到Google的驗證密碼,而獲取驗證密碼是需要在Web端輸入Google Account的密碼,雖然需要反覆輸入,但都是一個密碼。因此如果隨便找個手機安裝一次Authenticator,應該也可以生成Token(未經驗證,請自行測試可行性)2.Authenticator客戶端畢竟活生生的放在那,如果遭到逆向,核心演算法和流程被逆向複製出來,同時入侵者拿到了初始化的值,也等同於隨時可以生成和你一樣的Token不過上述過程都是非常困難的。總體失密的可能性取決於各個環節失密的可能性,多一個流程,失密的可能性降低,但是多一個驗證路徑,失密的可能性就增加。換言之,P(失密)=P(簡訊失密)+P(Authenticator失密)=P(簡訊驗證環節1 失密)xP(簡訊驗證環節2 失密)……+P(Authenticator1 失密)xP(Authenticator2 失密)……還是那句話:沒有絕對的安全。