<div>I'd add to that that people probably shouldn't treat phones as a significant increase in security, it's not really the out-of-band device that it used to be/was in the 1990s. Today, it basically equates to a second computer and the probability that the second computer is also compromised isn't overly unrealistic. While the focus is rightfully on SMS, I'd basically consider anything that isn't a hardware token to be more or less the same-- although in fairness the specifics of what we're talking about here doesn't include any of the computers involved, which is a different problem.</div><div> </div><div>18.04.2021, 06:21, "Mel Beckman" <mel@beckman.org>:</div><blockquote><div>No, every SMS 2FA should be prohibited by regulatory certifications. The telcos had years to secure SMS. They did nothing. The plethora of well-secured commercial 2FA authentication tokens, many of them free, should be a mandatory replacement for 2FA in every security governance regime, such as PCI, financial account access, government web portals, etc. <br /> <div>-mel via cell</div><div> <blockquote>On Apr 17, 2021, at 6:27 PM, Tim Jackson <<a href="mailto:jackson.tim@gmail.com" rel="noopener noreferrer">jackson.tim@gmail.com</a>> wrote:<br /> </blockquote></div><blockquote><div>&#xfeff;<div><div>Every SMS 2FA should check the current carrier against the carrier when enrolled and unenroll SMS for 2FA when a number is ported out. BofA and a few others do this.</div><div> </div><div>--</div><div>Tim<br /> <div><div>On Sat, Apr 17, 2021, 8:02 PM Eric Kuhnke <<a href="mailto:eric.kuhnke@gmail.com" rel="noopener noreferrer">eric.kuhnke@gmail.com</a>> wrote:</div><blockquote style="border-left-color:#ccc;border-left-style:solid;border-left-width:1px;margin:0 0 0 0.8ex;padding-left:1ex"><div><div><a href="https://lucky225.medium.com/its-time-to-stop-using-sms-for-anything-203c41361c80" rel="noopener noreferrer" target="_blank">https://lucky225.medium.com/its-time-to-stop-using-sms-for-anything-203c41361c80</a></div><div> </div><div><a href="https://krebsonsecurity.com/2021/03/can-we-stop-pretending-sms-is-secure-now/" rel="noopener noreferrer" target="_blank">https://krebsonsecurity.com/2021/03/can-we-stop-pretending-sms-is-secure-now/</a></div><div> </div><div> </div><div>Anecdotal: With the prior consent of the DID holders, I have successfully ported peoples' numbers using nothing more than a JPG scan of a signature that looks like an illegible 150 dpi black and white blob, pasted in an image editor on top of a generic looking 'phone bill'.</div><div> </div><div> </div></div></blockquote></div></div></div></div></blockquote></div></blockquote>