所谓的账号安全强制用 2fa 属于是因噎废食了, 完全不理解为啥国外大厂强制要求这玩意
你说他安全其实也是个纯靠手机才能使用的验证器, 这东西怎么看都不可能比短信安全
而且还容易丢失一丢失就完全无解, 纯纯的坑自己
印象里二十年前银行卡开通网上支付会送一个类似 2FA 的机器, 会隔几秒换一组数字作为验证码
结果后来线上支付发展起来之后, 这东西直接就淘汰了
国外那些人也不知道脑子里哪里出问题了, 把这玩意捡回来当个宝了
This topic created in 137 days ago, the information mentioned may be changed or developed.
Supplement 1 · Jan 13
这里 2FA 特指 TOTP, 我并不是说短信多好只是拿短信和 TOTP 对比
 |
101
madantech Jan 13
我反正是 iPhone+MacBook ,就用的自带的 Password
它也是支持 2FA 的,也可以自动同步 |
 |
104
cfer Jan 13
咱就是说自己实现一个 web 端的不行?没有说一定手机吧?
 |
 |
105
kita Jan 13
是不是你被反诈还是说钱太少,会没有需要用 u 盾
|
 |
106
skinny Jan 13
很多服务的 TOTP 难用纯就是负责这部分的程序员是一群草台班子,TOTP 本身不复杂,RFC 也比较简单易懂,它本身并不限制你使用哪种生成器,但是有的厂商就限制你还把导出密钥做得特别难找,安全服务也不提供 recovery codes ,导致不小心就全没了。另一个大厂的微软的 Authenticator 也是屎,有的微软服务还只认它
|
 |
107
cloverzrg2 Jan 13
我喜欢 2FA, 不需要手机, bitwarden 的浏览器插件直接就能复制验证码
|
 |
108
woniu7 Jan 13
忒讨厌网络帐号和手机绑定了。
|
 |
110
hoosin Jan 13
@Overfill3641 有没有可能,这种事风控
|
 |
112
HankAviator Jan 13
@Leeeeex 把密钥打印下来贴桌子上(不是
|
 |
113
deplives Jan 13
国内啥都要短信的才是弱智,办个新号插卡收到一堆营销短信,一堆催债短信
|
 |
114
nnnnnnamgn Jan 13
还行,但微软的 authenticator 做得太烂了,经常莫名其妙要求重新登陆,然后登陆的时候要 2fa ,退回去看验证码->重新登陆/邮箱验证->登陆失败,侥幸登陆成功后也会一直转圈,必须得卸载后重新设置才可以
|
 |
115
realpg PRO 国外不用短信是因为很多地方 手机没信号是个很普遍的事儿
|
 |
117
tonynothing Jan 13
自建 bitwarden
|
 |
118
Overfill3641 Jan 13
@hoosin 100%验证,你别风控了行吗?我已经服了!
|
 |
119
0x2CA Jan 13
说实话,以前银行的每隔几秒的一个验证码的硬件更加安全,因为是在生成硬件时候就写入的,没有办法从硬件读出,除非攻破银行系统,没有办法知道验证码,而且任何软件都没有办法读取,只有人拿到这个硬件,用眼睛看到这个验证输入进去才行,这个和手机验证码根本没有办法比,手机如果有木马程序读短信呢?,电脑有键盘记录器记录你的密码呢?等等,所以实际上是硬件的更加安全
|
 |
120
Jarett Jan 13  1
网友又在以自我为世界中心开始想当然了
|
 |
121
cocong Jan 13
安全没有极限,我也觉得过度了,其实防君子就够了,就像自行车锁,真想偷有的是办法。
|
 |
122
StephenHe Jan 13
因为 2fa ,我 github 账号都扔了重新注册一个
|
 |
123
arrow629 Jan 13
那你这个充其量只能说那些验证器 app 给你留下了不好的印象,因为短信验证码本身也是 2fa 的一种方式。这种的话建议上个密码管理器或者上个 passkey
|
 |
124
CHNTDCS Jan 13
短信要收费的,成本会增加很大的支出。totp 费用低很多。
|
 |
126
sickoo Jan 13
不讨厌 2FA ,相反,如果是异常丢失设备,那就全盘皆输
 |
 |
128
alphatoad Jan 13 2
有点绷不住。2FA 因素丢失一般可以通过其他因素(比如 email )配合合理的风控手段 override ,比如 Apple 通过手机验证码、email 来 reset 2FA 会触发账户冷冻等待期。
我倒是想问楼主,中国这种把手机验证码当成 SSO 的情况,账户完全无法设密码或者设了密码也毫无作用只会去验证 sms code 的情况,遇到手机被运营商 resell 、买到了用过的手机号、欠费停机运营商不给恢复的情况,如何保障客户的隐私和财产安全?因为账户建立时只有一个 factor 就是手机号,所以根本没有别的因素可以验证 |
 |
129
oyama Jan 14
实话说,发短信要钱不说,国内的要实名模板,要企业认证,totp 纯离线方案多好的功能
|
 |
131
Achophiark Jan 14
@hentailolicon 多来 v 站看看就不会因为信息洼地导致这样的情况了,就不会不知道 keepass 和 bitwarden 等工具了,就不会不知道数据要自己掌握才是硬道理。
|
 |
132
irrigate2554 Jan 15
1. 短信有安全问题,伪基站,2G 破解,SS7 ,运营商内部等泄露环节
2. 短信有成本问题,另外个人要整个短信认证接口也很困难(包括企业现在都在收紧因为诈骗和广告问题) 3. 你随便用个密码管理器就知道 TOTP 有多方便了,比短信方便很多 4. 减少你手机丢了之后头皮发麻的情况(太依赖短信人家把 SIM 卡重新插到新手机上你的所有账号都一览无余了),而 TOTP 和密码管理器需要破解手机锁屏,甚至有独立密码。 |
 |
133
zf9617 Jan 21 via Android
有保存在云端的 2FA app
|
 |
135
kasusa Feb 2
2fa 你需要下载一个独立的 2FA 软件。
比如 2FAS 。 这个软件的数据都是存本地的。卸载了就没了,但是可以主动备份。 而且我 ios 手机换过几个换机之后也会同步过来的。 |
Select Language