通過手機簡訊驗證碼驗證身份，真的安全嗎？

12-10

一直在用的某免費郵箱最近頻繁提醒我要驗證手機，把手機與郵箱關聯，理由是：「忘記密碼時，您可以通過手機驗證碼快速取回密碼；而密碼一旦被盜號者更改，您也可以收到免費簡訊通知。」

這段話讓我困惑。因為我認為這段話也可以理解成「即使不知道密碼，他人只要拿到你的手機，就可以通過手機驗證碼快速取回密碼」。而且，如果我的手機已經落在別人手裡，則「密碼一旦被別人更改，您也可以收到免費簡訊通知」也毫無意義。

我不確信自己永遠都不會出現手機丟失或被盜用的情況。所以這段話反倒讓我覺得不應該關聯手機。同樣，似乎有越來越多的網站將「安全驗證」繫於「手機驗證碼」這個機制。

我想問的是，這真的安全嗎？手機這種極易丟失或被盜用的隨身設備，能擔當這樣的重任嗎？就沒有更好的辦法嗎？

居然被邀請了，反正也沒事，那就仔細說說吧:)

首先要說的是，就像已經有很多人指出的那樣，是沒有絕對安全的。我們說xxx是安全的，只是表明所面臨的威脅和風險在可接受的範圍內。至於什麼程度才算「可接受」則很難定義，很多時候甚至要更多地考慮情緒和感情因素。換個角度，也可以說，面對已經識別的風險，如果防護的投入將超過可能的損失，則可以認為「可接受」了。

回到這裡來，不過換一個問題：通過手機簡訊驗證身份，能提高安全性嗎？答案是明確的，是。身份認證有三個方式：你知道的，你持有的，以及你固有的。一般的口令密碼之類算第一類（你知道的），持有令牌通行證之類算第二類（你持有的），指紋虹膜等生物特徵算第三類（你固有的）。由於獲取／偽造的難度不同，一般認為第一類的安全性比第二類差，第二類又比第三類差；但需要明確的是，如果只有其中一種都算是弱認證，必須獨立使用兩種甚至三種才算是強認證。

普通應用比如郵箱的認證方式都是口令或密碼這第一類認證，使用簡訊驗證碼則是為了提供第二類認證。在安全設定中，做得好的系統會要求關鍵修改要同時使用兩種認證方式，即：使用密碼登錄，然後修改關鍵信息比如已經註冊過的手機號，還需要先用之前的手機接收驗證碼；單獨獲得手機後，是不應該能夠登入賬戶並修改所有信息的，否則就破壞了多種認證方式直接的獨立性，進而破壞了系統的安全性。

這時候我們再回頭看題目的問題，就能知道，在沒有設計缺陷的情況下，在密碼認證之外添加簡訊認證是同時使用了第一類和第二類認證，也就是強認證了。在密碼設置合理（嚴格來說必須用隨機數，但最起碼不要用123456之類）、手機簡訊驗證碼系統可靠（沒被人複製竊聽）的情況下，安全性是有充分保證的。即使是兩種認證方式終有任何一種被破壞，面對一般的威脅安全性應該也還好。這樣來說，可以給題主一個明確的答案：是！有更好的方法嗎？綜合考慮成本和適用性，暫時可能還真沒有。

一句題外話，隨著技術進步和操作方式的變化，原本算是第三類的認證方式可能變弱成第二類，第二類可能變成第一類，原本互相獨立的認證方式也可能在無意間關聯起來。和所有的安全系統一樣，設計驗證系統必須非常小心，充分考慮各種情況；同時，也要始終注意，所有安全投資的價值在於保障，不能本末倒置。

謝邀。題主提的是「簡訊驗證碼」，其實這個並不是手機相關的，那下面就討論兩個方面，一個是簡訊驗證的安全和其他的二次驗證，一個是手機本身如果被盜用的情況。事實上來說，由於手機是機卡分離的設計，在及時掛失的情況下手機丟失反倒目前不是對簡訊驗證最主要的威脅。不過如@曲小鑫提到的，在換號之前，一定要把自己綁定過手機號的服務都註銷或者更換掉。。

簡訊並不是最好的二次驗證方法，但卻是成本最低最容易實現的也基本靠譜的：用戶綁定性較強，不需要額外設備，用戶廣泛擁有，校驗成本極低。簡訊驗證的預設是
1）認為用戶的手機卡是不會輕易丟失和被竊取的，和用戶綁定更緊密（相對於各種脫庫事件，密碼泄露的概率還是比丟手機的概率大多了，況且丟了手機可以立即去運營商掛失補卡，密碼泄露了就是泄露了）
2）認為有手機號可以做二次驗證的用戶是真實用戶（所以手機驗證碼通常也會在要求比較高的場合被用來作反垃圾註冊）（並且能獲得更多用戶的真實信息用來...）
3）認為運營商維護的通訊信道比其他的都更安全
這些預設基本上是靠譜的，只是在智能手機普及的大環境下各類簡訊木馬此起彼伏，補卡攻擊和無線電監聽這些一直存在的問題也被關注和利用，簡訊驗證的安全性就開始出現了問題。

目前來說對於簡訊驗證的威脅主要有如下三個方面：
1）智能手機平台上的簡訊木馬，這裡【支付寶大盜分析報告】可以看到一個案例。這種木馬的作用之前廣泛用於支付寶詐騙，不法分子誘騙受害者通過二維碼下載安裝木馬，隨後重置受害者的支付寶、淘寶賬戶盜取錢財。因為之前支付寶的重置密碼驗證只通過簡訊驗證碼，木馬在後台可以輕易竊取並轉發給不法分子，實現對受害者的賬號重置。這類木馬編寫簡單，已經形成了非常完整的產業鏈：從制馬人員到售馬、租馬，到實施釣魚、欺騙、洗號、轉移錢財。

在智能手機的年代，由於OS開放了簡訊操作和攔截的介面（Android直接提供，iOS需要越獄），對於一個安裝了支付類App的智能手機且綁定賬戶的SIM卡也安裝在同一個手機的情況（絕大部分情況下是這樣），簡訊驗證事實上已經退化成了單因子驗證，只要智能手機被安裝了木馬那麼這些驗證體系就會全線崩潰，攻擊者甚至可以只通過釣魚wifi全部搞定登陸密碼、支付密碼和簡訊驗證，參見諸葛老師的演示：《每周質量報告》 20140615 移動支付的隱憂

2）補卡攻擊、克隆攻擊。之前提到了簡訊驗證碼事實上是基於手機號（SIM卡/運營商服務）而不是手機設備，那麼如果能辦一張和受害者相同的手機號（卡），自然就能狸貓換太子，接受受害者的驗證碼，重置各種賬號。參考安卓系統手機綁定銀行卡易成黑客「提款卡」，這裡的薄弱環節就在運營商，部分地區的運營商對補卡人員身份驗證不嚴導致出現了補卡攻擊。在早些年SIM卡構造簡單的時候甚至還能直接去克隆一張卡出來。

3）無線電監聽。這裡主要包括GSM監聽，包括監聽空中簡訊，直接獲取簡訊內容- -b，但這個玩法成本和範圍有限制，相對1、2來說用在真正犯罪的情況下還比較少。發一個入門教程，範圍很小但是設備價錢很低：GSM Hackeing 之 SMS Sniffer 學習

解決方案：1的情況有很大部分其實是反木馬和系統開放度的問題，目前Android在4.4之後已經收緊了簡訊許可權，相信在4.4普及之後情況會有一定好轉。TrustZone這些耳熟能詳方案就不提了。

2、3其實就是對運營商維護的信道安全提出了質疑。2依賴於運營商的各大營業廳加強安全意識，目前來說各家公司應該是收到過公安部的通知，現在去營業廳補卡還是盤查的比較嚴格的。

3可以考慮使用CDMA、3G、4G等更安全的信號通道，但目前也有降維攻擊，強制將用戶信號降為（2G）GSM之後進行監聽。這種攻擊的防禦主要是使用非GSM制式的通訊服務，然後坐等GSM慢慢退出歷史舞台。（移動用戶哭了）

簡訊之外自然有一些更好的二次驗證，比如OTP、指紋甚至虹膜也都可以使用。OTP（各種寶令、Google Authenticator、RSA token）已經比較普遍的。指紋隨著具有指紋識別功能設備的普及也會流行開來，但如何在隱私和安全性上取得平衡還需要考量。

至於手機可能存在的失竊情況，這些二次驗證方案都有對策，首先給自己的手機設置鎖屏密碼是必須的步驟，防止手機丟失後被直接打開使用，增加犯罪成本。至於給SIM卡設置PIN這些，似乎用的人不多，這裡就不討論了。在假定設置了不會被輕易破解的鎖屏密碼的情況下，具體情況具體分析
1）簡訊驗證：攻擊者可能在解不開鎖屏後就直接取出SIM卡，這種情況下手機丟失後立即去營業廳或者電話掛失號碼。
2）OTP類：這些基於App的驗證相對來說還可靠一些，但保險起見也需要做一下吊銷，以重新生成種子。
3）指紋、虹膜：這種表示壓力不大。。

在網路信息安全的五個功能中(身份認證、授權、保密性、完整性和不可否認)，身份認證（Authentication）是最基本最重要的環節。

身份認證的作用，是保證在具體的決策環節，體現用戶的真實意願。

通常，身份認證有三個要素（多因素認證，MFA）

所知：things only the user knows，比如密碼，安保問題
所有：things only the user has，比如手機校驗碼，U盾
所是：things only the user is，比如指紋，瞳孔

從密碼學角度上來說，使用上面兩者完成的驗證稱之為雙因素驗證（TFA，Two factor authentication）

舉幾個例子

使用登錄密碼完成登錄：單因素認證，所知
使用登錄密碼+手機驗證碼完成支付：雙因素認證，所知+所有
使用登陸密碼+支付密碼完成支付：雙因素認證，所知+所知
使用銀行卡+密碼完成取款：雙因素認證，所有+所知
使用簽名+核對身份證+密碼完成櫃檯取款：多因素認證，所有+所是+所知

顯然，單獨使用以上單一認證因素都會存在其問題和風險

所知：容易被遺忘，猜取以及普遍存在的信息泄露導致的碰撞
所有：容易被釣魚，丟失
所是：認證成本過高，本體容易受到攻擊

特別地，這些認證因素本身的安全性也有高低之分。顯然，所是的安全性要高於其他兩項，因為它無法轉移。

在實際的應用場景中，我們在應用這些認證因素的時候，應該考慮到如下的問題

通過率
邏輯安全性
用戶安全感

一些實際經驗的Tips

安全性遵循遞進原則，風險等級和認證等級掛鉤，低風險等級的操作不應該用過高的認證要素
損耗性：每增加一層驗證要素，就會有大量的用戶損耗流失，例如，每發一次簡訊，就會流失30%的用戶，當然，不同的驗證要素損耗性是不一樣的
安全感知：用戶對於安全性本身的需求遠沒有安全感來的重要，儘可能讓用戶覺得是安全並且是需要的
傳遞性：在設計某一項驗證要素的找回或者替換邏輯的時候，需要特別主要授權性和安全等級的傳遞性，高安全性可以找回/替換低安全性的驗證要素，反之則不可以，特別地，不要做成循環驗證
絕對方案：在某些情況下，用戶會無法使用所有的簡易的驗證要素，這個時候需要設計一個方案，足夠保證安全性的並且可操作，使其能夠恢復重置，即使這個方案很複雜

所以，總體來說，手機簡訊驗證碼是兩步驗證中，相對：成本最低，通過率最高，操作性最好的驗證手段了。所以，綁定手機，驗證手機也就成了標配。

無非是手機驗證還是郵箱驗證。對於大多數普通人對於大多數應用場景來說還是手機驗證安全方便。

1、與國外的使用習慣差異，中國用戶電子郵件使用率不高，很多人沒有郵箱或者忘掉郵箱密碼的，這樣郵箱驗證形同虛設。另外比起郵箱驗證，手機驗證操作更傻瓜，環節更少。
2、使用驗證方式盜號最常見的情況應該是從用戶名猜到驗證郵箱，而遭遇各種拖庫的中國網民常用郵箱很可能已經密碼泄露了。手機驗證的話沒這個風險。
3、先撿到手機，再通過手機修改密碼。這個主要針對網銀吧，否則小偷也忒無聊了…這個確實有風險，但是做的好的比如支付寶是這樣防範風險：A.客戶端建議設置圖形解鎖，並且建議分別設置登錄密碼和交易密碼。B.PC端若不是經常登錄的機器，無法簡單使用手機找回密碼功能。退一步，即使不考慮這些，丟失手機後可以第一時間掛失，重辦號碼，起碼風險是可控的。

xy.
單純從技術上來說確實不安全，不過安全也是相對的。互聯網應用系統是在他認為可接受的風險範圍內，為大部分用戶提供最大的易用性。題主可以選擇是否綁定，這也是看題主是看重安全還是看重僅忘記密碼情況下的使用便利了。
說說技術上吧，大家都知道2g手機的數據可以說幾乎是裸奔的，利用大概10來個手機配合抓包分析，就能截獲附近一個基站的2g手機簡訊的，不用說什麼驗證碼，就連什麼簡訊下發的門票，消費碼等等都能拿到。
更好的方式（可能題主說的好特指安全）也有，但麻煩，比如usbkey和數字證書，所以這個也就在安全性需求特別高的業務系統中使用，如等保三級，網銀等。

沒有絕對安全的驗證方式。

手機驗證相對於傳統的郵箱驗證、密保問題驗證要安全很多。

因為郵箱、密保問題是虛擬物品，郵箱密碼、驗證答案都具有可傳播、可複製性質，因此只要得知密碼、答案即可獲得驗證碼。

而手機則是實物，只有手機持有人才能獲取到驗證碼，具有地域性限制，網路上的黑手沒辦法觸及，因此會比其它方式安全很多。
（暫且排除智能機因許可權設置問題導致簡訊被竊取的情況）

以下產品也具有同樣的效果，而且更安全。

至於提主所提到的手機丟失問題。
只能說，家門口鑰匙都還有丟失的時候……

不安全，但沒有更好的方式。當前主流個人聯繫當時是三種：電子郵件，手機，QQ/微信。許多用戶很少用郵箱，QQ微信屬於某家公司且更不安全，所以手機彷彿是唯一的選擇。

從另一個角度說，需要把操作權交給用戶，其實網站在這部分可能是因為避免責任而不作為，也有想獲取用戶手機號的私心。

對於這個時代的用戶，手機是最重要的私人物品，可以假設是私密不可丟失的。所以應該做好心理準備：提升關注度不要隨便亂放，設置密碼，不要隨便借給他人使用（就算借，也不離開視線範圍）。如果丟失，第一時間停用。

最後，我認為手機號的驗證還能存活兩年，以後會有完美的替代方案。

既然是說驗證碼安全，那麼大家有沒有關注之前一篇受害人自述被騙經歷的長文：受害人稱，由於回復了一條簡訊，他的支付寶、銀行卡以及百度錢包里所有的資金一夜之間被「洗劫一空」。

之所以受害人的所有賬戶被「全線攻破」，是因為除了個人信息這把「鑰匙」早已泄露外，「雙因子認證」的第二把鑰匙「手機驗證碼」也因手機卡「被劫」落在了攻擊者手中。

豈安發現，近年來，在個人信息泄露交易愈發猖獗的大背景下，單一的靜態信息如賬號、密碼已經不能保證各類身份驗證，尤其是在線支付的安全。舉個栗子，就是「你爸自己說他是你爸」這把「鑰匙」已經不安全了，必須用隨著時間、事件等因素隨機產生的一次性密碼再加上「另一把鑰匙」，同時擁有「兩把鑰匙」的人才能證明「你爸是你爸」。

而這把「新鑰匙」從最初的U盾、令牌開始，越來越多的「集成」到了智能手機上，「簡訊驗證碼」已經成為如今在線支付「雙因子認證」的「必選項」。

我們在互聯網交易中一定會涉及到身份認證，打個比方，就是所謂的證明「你爸是你爸」的過程。

「雙因子認證」是什麼

雙因子認證（Two-factor authentication）是一種驗證形式，又被簡稱為TFA、T-FA或者2FA，其要求採用兩種以上的認證因素來進行驗證。雙因子認證技術致力於通過多重驗證方式減少用戶在數據請求過程中所遭遇到的風險。因子包括密碼、信用卡、手機號、口令紙卡、動態口令卡、U盾、指紋、簡訊驗證碼等。

雙因子認證不是一個新的概念。當我們在銀行自動提款機上取錢時，就已經應用到了雙因子認證技術。在這一過程中，第一個認證因素是用戶的儲蓄卡或者信用卡（除無卡存款），第二個認證因素則是用戶所輸入的密碼。

移動互聯網時代，網上銀行、支付服務商在轉賬過程中為了提高用戶體驗度，往往將雙因子認定為「支付碼（取款碼）+簡訊驗證碼」，甚至某些支付渠道的更改支付密碼過程僅僅通過驗證碼就可完成。

了解了這個，或許你認為手機能保管好，安全就得到保障。畢竟很多的案例都是手機遺失後通過簡訊修改了支付密碼、在網站進行快捷支付。但是，你忽視了不法之徒是社會工程學、心理學專家。

我們說回開頭說的那個詐騙案件。

這個案件源自一條欺詐簡訊。為實現方便快捷的更換服務（多為4G卡推廣服務），用戶可在線提交申請實現換卡。流程如下：

申請白卡→老卡手機發送申請給10086→新卡收到確認碼回復→寫入新卡→老卡作廢。

如果不法分子通過仿冒簡訊通知你發送XXX給10086：

看到此類簡訊，你很可能會回復。因為①畢竟是回復給10086嘛 ②很多新業務對於用戶是盲區，並沒有多少人知道一個簡訊能一分鐘內實現兩卡互換。

經過了這一系列的操作，此手機的真正主人曾經綁定所有銀行卡、所有支付客戶端從此全部易主，接下來面臨的一定是全面遭遇洗劫！

看到上述案例你一定很緊張，馬上去翻看簡訊了。但是真正實現還需要一個步驟，不法分子首先得能夠用你的手機號和密碼登錄上你的移動官網。他們用掌握的社工庫、各種釣魚網站得到的密碼嘗試登陸各類網站，除了移動官網，一定還有電商、社交、O2O等主流網站，一旦匹配成功，就會在你的賬戶里展開豐富的探索歷程。

那麼，通過手機簡訊驗證碼驗證身份真的安全嗎？

從一定程度上來說，還是安全的，但這種方式不能保證你身份、信息百分百的安全，豈安科技的安全專家還有五點要提醒：

一、靜態密碼設置一定要複雜

其次，攻擊者經常利用各種手段對簡訊進行偽裝，並千方百計地對攻擊對象進行誤導、甚至恐嚇。所以一定要對"運營商"、"銀行"等身份的手機簡訊和來電進行認真甄別，冷靜應對。

二、遭遇「干擾信息」仔細甄別莫慌張

每個人手機上，可能都會出現過各種的干擾信息，那麼如果在我們風險意識並不是很強的情況下，很容易被這種干擾信息所誤導，就會產生後續的一系列的損失。

三、手機離奇「癱瘓」緊急「掛失」當先

另外，如果手機通訊出現癱瘓，一定要馬上查清故障原因。如非手機本身或信號故障，要立刻掛失手機卡，並及時凍結第三方支付和銀行賬戶，避免攻擊者趁用戶處於"信息孤島"時，冒名頂替機主身份竊取賬戶。

四、簡訊驗證碼 不能告訴任何人！

最最重要的是：簡訊驗證碼不要告訴任何人！電信運營商和提供相關服務的企業只會將簡訊驗證碼下發給用戶，絕對不會要求用戶通過簡訊或電話進行所謂「回復驗證碼」的操作。

五、不要安裝來路不明的應用

對於小白建議只安裝手機品牌商店中的應用（起碼安全性要高一些）。

個人意見：
1.手機設置好圖案解鎖，盡量複雜一點。
2.SIM卡設置PIN碼，初始密碼一般是1234，注意修改下。這張卡插入任何手機裡面，只有輸入正確的PIN碼才能使用，輸錯3次之後需要驗證PUK碼，PUK如果再輸錯卡就報廢了。手機被偷之後請一直呼叫，呼叫到沒電或者關機了你就贏了。

沒有絕對安全的驗證方式，手機驗證碼是建立在將手機假設為很重要的位置和很安全的前提下的解決方案。

收集用戶信息綁定用戶的一種手段而已

關於手機驗證安全方面的問題，樓上各位做互聯網安全的大神已經解釋的很清楚了，我想從產品設計方面來講下我的看法，可能有些偏題，僅供參考：
首先說下觀點，手機驗證碼驗證是一種不是非常安全的辦法，但是是當下綜合看起來是最優的選擇方法。
現在網站將手機號主要作為以下兩個方面：1.取代用戶名和郵箱，作為網站唯一ID，登陸一般採用手機號+密碼；手機號+驗證碼兩種方式。2.與用戶名或郵箱綁定，作為賬戶內容驗證的一部分。
經過最近幾年移動產品設計的發展，無障礙的用戶體驗已經變為每一個產品經理必須注重的問題。而由於目前智能手機仍未解決輸入體驗的問題，以及國內用戶對郵箱的認知程度沒有國外用戶那麼高，相對於郵箱和用戶名，手機號+驗證碼更方便，更無障礙。當然也更容易互聯網公司拿到真實的用戶數據，不過我們是為了更好的優化用戶體驗好伐！
樓主說的問題確實是一個問題，但是我們已經為了這些也做了很多的工作，通過樓上各位安全大神的回答可以發現。
最後說一句，無論哪一種驗證方式，：沒有絕對的安全，只有可承受的危險。並且手機號還有換卡等問題需要我們去解決，因此請樓主不要糾結，只要細心管理自己的賬戶，被盜的概率是非常低的。

==========================
補充一下：
現在手機號+驗證碼登錄賬戶的形式還不成熟，主要是防注入的成本太大。

有兩點要說明。

第一，手機確實比郵件或其他身份驗證要方便，但我個人認為要求這樣做更多的原因是為了推廣實名認證，確保門戶網站的有效用戶數量。

第二，槍總你的擔憂是多餘的。丟手機和丟賬戶沒有必然聯繫。

首先，大部分網站支持手機解綁，只要你在手機丟失的時候想起來註冊了哪些涉及資金的賬戶就可以（願意及時補辦手機卡的話甚至不需要去解綁），所以這是卡的問題，不是手機問題。

其次，也是最重要的一點，竊取賬戶和竊取手機（有時候不一定是竊，可能只是不小心掉坑裡了…）的人未必重合，可能只是兩個完全獨立的事件而已（如果是偷手機的人通過翻查你的手機來獲取信息再進行賬號竊取就另當別論，但這種情況首先要怪自己手機密碼，軟體密碼，異地登陸確認等安全性設置沒有搞好）。

不安全，但比它安全的都沒它方便。

手機隨便寫寫。
謝謝邀請。

不安全。
以前說過一句話。一個只認手機不認人的網路現狀。是極具威脅性，且不合理的。
認識一個朋友，老喜歡去買三星的手機。買回來進行數據恢復。發現好多PL的韓國MM照片。
手機保存了很多我們「自以為」只有自己可見的東西。但是一旦丟失。又是一個新的XX門事件。

擔當不了重任，一個過渡渠道。

參考facebook,等驗證方式。
有一次我密碼，忘了密碼需要找回。號上關注的全是世界美女。你竟然給我一堆美女圖片。讓我說叫什麼？我只關注美女、不看叫什麼好吧！！！憂傷。
理想的驗證方式。（大數據）
YY：某小說這樣描述的、你需要驗證身份的時候。系統隨機出一些題。這些題都出自於最近一段時間你的使用狀態，比如；你那一天失戀的？你昨天丟了多少了？喜歡什麼顏色。都是隨機的擁有不確定性。
有機會補充。

已經有N多大俠回復了，我就不重複說一些了。

概括說兩點吧：

1）驗證身份通常依靠幾種不同的因子，你知道什麼，你有什麼，你是什麼；由於知道是可以告訴別人，無限複製的；東西是可以丟失或者被盜的；你是唯一的；所以，通常認為三個因子依次安全性增強。
但是，對於高度有價值的東東，認為單獨依靠三種因子，風險都還是大，所以，通常要求多因子認證。注意，多因子不是多密碼；讓你用兩把鑰匙開一個門，未必比一個鑰匙安全多少，但是，要你輸了密碼，再加鑰匙才能開門就要安全許多了。

2）結合你描述的場景。設計者認為手機是你擁有的，所以簡訊是證明你」有什麼「；「有什麼」高於「知道什麼」，依靠其來重置「知道什麼」，也還說的過去。
只是，手機簡訊不是一個強「有什麼」，因為簡訊本身是很容易被竊取的方式——所有的簡訊在簡訊伺服器上是明文的。
夠不夠安全，其實就是風險大不大。這主要取決於你要保護的資產是否重要，簡單來說，就是你的郵箱和裡面的信息對你有多重要。
如果只是尋常百姓的普通一個郵箱，那足夠安全了；
如果是綁定了你N多財務數據、個人隱私、商業秘密的，而你又是聲名顯赫，那至少換個支付寶裡面的軟token。

多通道驗證，就是【基本】安全的。
PC（加互聯網）是一個通道；手機（簡訊或語音）是一個通道；將軍令（及其類似的驗證工具）也是一個通道。。。。
所以，如果PC（不是網吧這種場所）+簡訊，就基本是安全。
但是，如果本身是手機應用、手機支付，那麼簡訊驗證就只能算是同一通道了，基本是不安全的。

多餘說一句：
U盾之類的工具，因為需要插在PC上，與PC近似一個通道了！
因為在你插上U盾準備使用的同時，理論上，木馬程序也可以使用它了！
所以，U盾的安全性其實也存在漏洞。如果U盾外表有一個類似SD卡的讀寫開關，則能把這個漏洞縮得更小一點

不夠安全，但是相對比較方便。
說不安全是因為：
1) 智能手機用戶可能會額外面臨木馬或惡意程序的威脅
2) 如果網站安全不到位，破解用戶驗證碼也就是分分鐘的事情，這個已經成為產業的一部分了，相關案例也很多了
倒是比較不用擔心GSM監聽啥的，那個成本相對比較高

還是得看使用環境 OTP在中國明顯是缺安全性的在中國互聯網生態圈裡製造木馬投放木馬早已是一個完整產業通過木馬及帶監控的軟體或者手機APP實時攔截OTP分分鐘的事情還有各種假冒偽裝網站也是竊取OTP的主要方式但海外因為OTP模式簡單開發方便是主要的網銀等金融網站的安全解決方式主要也是因為海外懂技術玩黑的不多

我認為是安全的，而且與其他驗證方式相比更方便，也能適用更多的用戶。

手機丟失並被惡意使用的概率並不是太高，相比之下我覺得郵箱被盜的概率可能更高一些。而且手機的安全如果有保障的話（iOS7+iCloud+鎖屏或指紋），即使丟失也對此方法無大的影響（前提是別人不知道你的手機號，因為簡訊的部分內容是會顯示在鎖屏界面的）。手機號的掛失和補辦相對來說也是很容易和比較快速的。

目前我還沒發現比手機驗證更便利的所有人隨手可得的安全驗證方式。其他一些常見的方法：

回答問題：容易出現忘記答案的情況。
USB key、口令卡或動態令牌：你需要隨身攜帶而且也有丟失的可能。