国内几乎所有网站都可以用验证码找回密码，那么 [两步验证-Google 身份验证器] 是否没必要使用了？

我倒觉得 2fa 才是正确方案，短信需要你信任运营商，邮件需要信任邮件提供商，唯有 TOTP，你自己的设备还不信吗

啥意思，目的根本不一样啊，怎么对比

然而还有凭借短信验证码可以取消二步验证的呢

SIM 卡可能被人伪冒机主补卡，也可能被 2G 降级攻击+嗅探

短信问题太多
换卡攻击
SS7
伪基站

我一直的想法是，实名制催生短信注册验证登录，一站式解决所有问题
国外大多用二步验证，更像是国外的类短信解决方案

说不是孰优孰劣，各自环境不同吧
短信直接登录，确实是问题，感觉正解是密码登录加短信验证

邮件至少可以用 tls+gpg 签名，而短信从来都不是可靠的传输协议，没法比。至少已经被报道的那些社工实例里还没有 totp 的 2fa 被攻破的例子。

国内强制实名制需要绑定手机号，使用短信验证是水到渠成，对用户最少干扰的选项。2fa 从技术逻辑上肯定是更安全的，但是实际使用中，会出现手机丢失等意外情况，然后就彻底懵逼啦。

我就有因为刷机把验证器毁了，后果不堪设想。总之，在国内手机被盗，可以拿身份证补卡，没有办法补手机。所以还得多处备份 2fa，其实并没有更安全。

@iConnect 微软、google 的有在线备份，1pwd 也可以账户同步，比到处留手机号强多了

黑你的号不一定要改密码，可以和你共用啊，你也发现不了

@xingyuc 那么问题来了：你是如何保障微软、谷歌的账号安全的呢？

@iseki 也不一定吧，验证码是 Google 自家的 App 根据密钥产生的，Google 是一家商业公司，存在将密钥传回服务器后台偷偷生成验证码的可能，就是类似你说的验证码需要信任提供商。这个方案是没有问题，但是这个 App 后期好像也不开源了，有没有后台的肆意操作毕竟就不知道了

有些网站的登陆真的是直接登陆

有些网站的登陆是经过风险计算后的登陆

“Google 身份验证器” 在理论上的确更安全

但是使用 n 项不很安全的验证因子跑出来的结果未必就不安全

登陆方式的便捷正是说明新技术的进步

@iseki 自己设备 TOTP 这个没问题。
但是 2fa 并不是就是 TOTP 啊，2fa 只是两步验证而已，第二个因素有时候是短信、有时候是 iCloud 一样的其他设备验证码推送、有时候是另一个邮件，有可能是 OTP 的某一种。

@Xusually 是，我理解错他题意了，我想怼的是验证码登录那种东西

@anyclue #12
> 验证码是 Google 自家的 App 根据密钥产生的

Time-based One-time Password algorithm (TOTP) 是人人可实现的 RFC6238，其他一些 2FA 协议也同样是标准，至于说为什么大家到最后都在用 Google 的大概还是品牌信任吧。

@phy25 TOTP 的实现标准和算法没有问题，但是 App 有没有额外加“料”，又不是开源的，谁能保证没有问题，要是开源的我说的就是错的，不是的话就可以质疑