就在上周，Instagram证实有报道称，它正在修改账户安全设置，允许用户使用安全应用程序（如googleauthenticator）的密码登录，而不是使用简单的基于短信的密码。虽然这并不是最**的新闻，但很高兴看到这种做法越来越流行：使用基于令牌的应用程序（而不是短信）来验证其他应用程序和服务。

您应该尽可能做到这一点（如果您没有其他选择，那么至少使用两步身份验证，而不是什么都没有）。有很多报告显示，黑客打电话给**运营商，找到一个毫无戒心的客服人员，假装他们是你，是多么容易。比特币交易所Kraken（幽默地）在2016年的博客中描述了这一过程：

不知何故，人们相信电话号码与身份密不可分，因此是很好的身份验证工具。Kraken从未支持基于SMS的身份验证是有原因的：痛苦的现实是，您的电信公司的安全级别是三流的外套检查。下面是一个互动示例：

哈克：我能拿我的夹克吗？电信公司：当然，我能拿你的票吗？哈克：我把它弄丢了。电信公司：你记得号码吗？哈克：不记得，但就在那儿。电信公司：好的，酷。给你。调查时请打10/10^_^

尽管**运营商（和FTC）知道这种黑客行为的普遍性，这种黑客行为通常被称为“SIM劫持”或“SIM移植”——这篇主板文章指出，一些运营商现在才开始提供基本措施来挫败这种攻击。

如果你真的做了一些事情，比如在你的帐户上添加一个特殊的PIN码，当你打电话给无线运营商的****时，一个人必须提交这个密码来验证他们是你，那么你才“更安全”。如果你没有这样做，或者甚至知道你可以，你的号码被黑客窃取可能是网络灾难性的，正如主板所指出的：

一位曾经使用SIM卡交换的黑客告诉我，这种情况“一直都在发生”，尽管电信运营商已经知道这种攻击方法很多年了。据T-Mobile称，已有数百人被这一骗局击中。在过去的几个月里，主板已经和30多名号码被盗的受害者进行了通话。除了她的Instagram手柄，我采访过的一位SIM卡劫持受害者的亚马逊、Ebay、Paypal、Netflix和Hulu账户也因此遭到黑客攻击。”

停止让网站和服务向您发送两步身份验证代码

有一些网站-我不知道哪些网站在我需要登录时仍然给我发短信。这是一种糟糕的安全措施，我把它完全归咎于我的懒惰；我并没有及时了解哪些网站和服务提供基于应用程序的双因素身份验证，而不是基于文本的两步身份验证。

如果您不确定您喜爱的站点或服务是否支持这种“基于令牌”的双因素身份验证，那么您有两种选择。首先，你可以滚动浏览你的短信，找到公司何时向你发送了登录代码，然后去扫描网站的设置，看看你是否可以在你最喜欢的应用中设置软件令牌。

既然我提到过，如果你刚刚开始使用双因素身份验证应用程序，甚至不知道该使用什么，那么支持基于令牌的双因素身份验证的网站通常会为你应该使用的应用程序提供建议。否则，这里有一些流行的选择：

• Google Authenticator（Android、iOS）
• 权威
• Microsoft验证器
• LastPass验证器
• 1密码
• 双机

你最喜欢的服务甚至可能使用自己的移动应用程序作为身份验证程序，比如Facebook的代码生成器。如果启用了该功能，并且您使用新的网络浏览器登录到Facebook，系统将提示您输入Facebook移动应用程序中的代码(不过，如果你愿意的话，你可以用googleauthenticator之类的东西来设置Facebook的双因素身份验证。）

如果您没有任何带有登录代码的文本消息可供查看，可能是因为您在登录到某个站点或服务后删除了这些文本消息，您还可以查看非常有用的双因素身份验证网站。单击任何类别，您将看到应用程序和服务的综合列表，以及它们支持的双因素身份验证设置（如果有的话）。

无论您如何操作，即使您必须手动查看浏览器历史记录以查看您最常访问的站点，也应该将您访问的所有内容切换到基于令牌的双因素身份验证。那样的话，如果一个黑客掌握了你的电话号码，他们就无法闯入你以后的数字生活。

（8/4/2018）大家好！文章作者在这里。我稍微修改了标题，以指明基于文本的安全登录的首选术语两步身份验证。尽管很多人仍然称一切为双因素身份验证，无论你是收到短信还是查看authenticatior应用程序上的登录代码，我不想把任何人搞糊涂。