问银行通过电子邮件(同时发送短信)发送一次性密码进行交易验证；这是不安全的吗？

EN

多因素认证(也称双因素身份验证)比简单使用长期使用的密码更安全.如果(1)您没有帐户密码/密钥(或登录所需的其他因素)或(2)一次性密码已使用过一次，则电子邮件帐户中的一次性密码将毫无用处。

是的，通过电子邮件或短信发送长期存在的密码是不好的建议(因为电子邮件通常在未加密的邮件服务器之间传输，并且可能被窃听--比如恶意系统管理员--而电子邮件通常存储在您的桌面上，没有加密)。然而，通常的做法是发送没有其他因素的一次性密码，这些密码本身是无用的。事实上，它显然比不需要其他因素更强大。与潜在不安全的电子邮件相比，有可能有更好的方法来进行多因素认证(例如，公司已发行的实物令牌，尽管每家银行都可能不可能向每个客户单独发放物理令牌，并期望大多数客户保持安全而不丢失它们)。底线是，需要一个额外的因素来证明阅读发送到你的电子邮件地址或电话号码的信息的能力要比不要求它强(尽管允许只访问你的电话或电子邮件地址的人很容易地完全控制你的银行账户是个坏主意)。

是啊，你说得对，送货方法不安全。OTP是一个优秀的静态密码的执行者。就像在TFA一样。更让我担心的是，对于那个OTP...maybe，您将没有完全的权限来更改或修改个人设置。我认为你需要更多地调查你的银行安全问题。

添加到@Sefa评论：

当OTP发送给您时，攻击者将不得不拦截它。我能想到的可能性：

• 如果未加密，则拦截短消息(请参阅https://security.stackexchange.com/a/11512/183814)
• SIM交换(见https://theantisocialengineer.com/2016/05/04/sim-swap-fraud-porting-your-digital-life-in-minutes/)
• 截取电子邮件(如果未加密)
• 您的电子邮件帐户的公示(例如被盗的凭证或数据泄露)

攻击者可以在访问您的银行帐户凭据时使用这些方法之一。

如果OTP令牌不是发送给您的，而是由您拥有的设备生成的，则被认为更安全(例如，身份验证应用程序，如或FIDO U2F安全密钥(如YubiKey) )