如果二步验证或点对点加密通讯软件注册登陆依赖于手机（短信、电话），那么安全性不就受限于移动电话运营商的安全性？

那以什么为身份校验好呢？

绑定银行卡？还是手持身份证？

@taresky 以后键盘要是标配上指纹，那密码都可以用指纹了。

@crab
要经过网络传输的指纹识别，还不如密码，密码出现风险你可以更换，指纹只能剁手了。

楼主是指登陆时候的短信可能会被截获？二部验证可以不需要短信，直接扫码就好了啊

你说的很对。我记得 telegram 在伊朗就是这么被“盗号”的
所以我认为最好的解决方案是 FIDO U2F ，但是对移动设备支持很差，并且易丢失
希望以后都能抛弃账号密码，都用证书登陆

@pimin 跟网络传输有啥关系，可以加密的好不好，你没用过网银么？

@ghostheaven 三楼说得对啊，你仔细想想。

一般验证码不都是一次性，而且短有效期的么。而且包括邮箱验证也受限于邮箱的提供商的。

@BXIA telegram 在伊朗会被盗号？天，我的 Telegram 还是绑的伊朗的手机号。

两步验证，不是还有离线验证码？不需要依赖手机和网络。

所以我觉得 1password 的动态密码特别棒

@JJaicmkmy 伊朗手机号哪里来的？

实际上服务商相当于把风险转移给了移动运营商，这样即使出了问题他们也不必背锅

@athanos 我在伊朗住了一年，这个月刚回国。

基于时间和地点验证如何呢？

二次验证也从来不是说为了绝对安全，只是为了更安全而已。

话说前两天注册 signal 居然是用了一个浙 130 江手机号给我发的验证码

你说的没错。

前几天有一个新闻， Google 声称它认为两步验证中， U 盾(通用的 fido usb key)比短信更靠谱。

另外，新版 play service 已经出现了可以通过 nfc/蓝牙使用 fido key 的端倪

@BXIA 关注一下前两天 Android police 的一条新闻

注册 twitter 时是 131 开头的手机号发的验证码，所以用 google voice 吧