SMSまたは電話？）

それは本当にあなたの脅威モデルに依存します。

SMSは、スマートフォンの悪意のあるアプリに傍受されたり、傍受されたりする可能性があります。したがって、この種の攻撃が心配な場合は、callオプションを使用する方がよい場合があります。

ただし、ほとんどのスマートフォンでは、通話を受け入れるためにデバイスのロックを解除する必要はありません。そのため、スマートフォンを席に置いておかないと（または盗まれた場合）、コードを取得するためにSMSロックできます。もちろん、今日ほとんどの人がスマートフォンを無人にしないことはありませんが、これは脅威モデルを定義することがいかに重要であるかの一例にすぎません。

私にとっては、2番目の認証要素として、Google AuthenticatorのようなOTPジェネレーターを選択できない場合、SMSを使用します。これは、通話に応答する必要がないためであり、必ずしも便利ではないため、私の使用例では、SMSスニッフィングを実際の可能性として参照しないでください。ただし、@ cornelinuxのコメントで指摘されているように、Google認証システムは「秘密協定」フェーズでの特定の攻撃に対して脆弱であるため、脅威モデルを定義して確認します。

どちらでもない。 SMSと、攻撃者があなたのモバイルプロバイダーをだまして自分を信じ込ませることができる場合、その電話は攻撃者が選択した電話に転送されます。このようなモバイルアカウントの乗っ取り攻撃はそれほど極端ではありません。一般的な（まだ）が、間違いなく 急上昇 です。

（@Jediについて簡単に説明したように）より良いオプションは、認証アプリを使用して、MSアカウントにサインインするための2番目の要素として使用できるワンタイムコードを生成することです。 （Outlook.comやその他の消費者向けMicrosoftサービスにアクセスするかどうか。）その設定方法の正確な情報は here にあります。このアプローチのセキュリティに関しては、最悪の場合、攻撃者が（1）電話の物理的な所有権を取得し、認証アプリが電話のストレージからワンタイムコードを計算するために使用する共有秘密を盗むことがどれだけ簡単にできるかに依存します。または（2）リモート攻撃を介して電話を完全に侵害し、同じことを行います。攻撃者がこれらのいずれかを実行するのに伴う難しさは、電話のOS、構成、およびハードウェアセキュリティ要素にかなり依存します。しかし、一連の事柄において、この方法をとると、SMSまたは通話中の音声コードを使用するよりも、攻撃者の仕事が著しく困難になる可能性が高くなります。

（もちろん、これは必ずしも、電話認証アプリのアプローチが、現在存在する他のすべての可能な認証技術よりも優れていることを意味するわけではありません。スマートカードまたは強化されたUSBキーのアプローチは、専用のハードウェアトークンで実装されたセキュリティチャレンジ/レスポンスメカニズム [example] と同じように...しかし、ここではMicrosoftアカウント認証が現在サポートしている2FAオプションについて話しています。）

これは、認証を行う必要がある頻度と、認識されている脅威モデルが何であるかによって異なります。通話が盗聴されたり、SMSが傍受されたりするかどうかは、パスワードを保護し、アカウントのアクティビティに注意を払っている限り、重要ではありません。

個人的に私はSMSメカニズムがより速く、邪魔にならないように到着します（特にクラスまたは会議で）を見つけます。@ user2765654が言うように、コールスニッフィングは自動化が難しいですが、ツールがより一般的になります。が人気を博しています（数字を認識することが最も簡単な音声認識タスクです）。