V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
livenpc
V2EX  ›  云计算

聊聊凉心云区别对待国内外账号绑定 MFA 的双标行为

  •  1
     
  •   livenpc · 2023-03-17 00:45:29 +08:00 · 4956 次点击
    这是一个创建于 620 天前的主题,其中的信息可能已经有所发展或是发生改变。

    凉心云国内账号绑定 MFA 有些仅有微信小程序一种绑定方式,使得每次登录管理账号的步骤很烦:

    掏出手->解锁->打开微信->"➕"->扫一扫->对焦->"叮"->正在跳转->"123456"( TOTP 展示)->"123456"(敲键盘)

    尽管设置了七天扫描一次,但架不住两三台电脑上都得登,会话一过期就得在每台电脑重复一遍上面的流程。

    迫于太繁琐,准备自己尝试搞一下 seed-code ,看到站内刚好有讨论,后来发现国际版直接允许使用第三方的虚拟 MFA 了,并且也不提供微信小程序绑定,很难不觉得是双标。

    国内版客服给出的回复:

    1.您好,确实非常抱歉给您带来了不便,目前腾讯云这边虚拟的 MFA 设备是由腾讯云助手小程序承载,所以是需要具备微信的。
    
    2.确实非常抱歉,国际站建议您这边可以去咨询下国际站的客服,但是目前在咱们这边是需要有微信的
    

    如果说出于保护账户安全的目的,小程序引入了一种牛 x 的身份验证机制那也行,可明明就一个标准 TOTP ( RFC 6238 ),何必非得强制绑定你微信小程序。

    你这不是欺负老实人吗?


    站内帖: https://www.v2ex.com/t/815086

    国内版: https://cloud.tencent.com/document/product/378/55649

    国际版: https://www.tencentcloud.com/zh/document/product/378/32528

    截图为证,含地址栏完整网址: 国内国际 1国际 2

    第 1 条附言  ·  2023-03-17 14:21:31 +08:00
    @PabloZhong #17
    PM 更新了进展和解决方案:目前可申请内测,很快将全量支持
    45 条回复    2023-03-18 09:12:34 +08:00
    guoshim
        1
    guoshim  
       2023-03-17 00:59:48 +08:00
    能当外宾还是得当外宾。
    kingfalse
        2
    kingfalse  
       2023-03-17 01:23:00 +08:00 via Android   ❤️ 3
    中国人专骗中国人,往大了说叫闭环,叫生态。
    AlphaTauriHonda
        3
    AlphaTauriHonda  
       2023-03-17 04:49:04 +08:00 via iPhone
    他就是要专门恶心你。
    billgong
        4
    billgong  
       2023-03-17 05:47:26 +08:00
    呃绑定一个云端生成 OTP 的应用严格意义上来讲不算是 MFA 吧,毕竟第二因素( something you have )和第一因素( something you know )没有区别

    第一因素密码泄漏,微信账户使用泄漏后的密码登录,第二因素也就泄漏了,就不能算是 something you have 了。到最后 knowledge possession inheritance 只实现了第一个,不算 MFA 嘛
    ltkun
        5
    ltkun  
       2023-03-17 05:49:31 +08:00 via Android
    关键为啥用良心云呢
    0o0O0o0O0o
        6
    0o0O0o0O0o  
       2023-03-17 07:34:01 +08:00 via iPhone
    昨天也被这个恶心到
    xuanbg
        7
    xuanbg  
       2023-03-17 07:57:46 +08:00
    凉心好评
    cnfczn
        8
    cnfczn  
       2023-03-17 08:03:44 +08:00 via Android
    腾讯是为了强推他的弱智圆形二维码,而且目前看还是只有腾讯周边的东西在用。
    lovelylain
        9
    lovelylain  
       2023-03-17 08:05:21 +08:00 via Android
    国内不需要键盘输入吧,绑定微信,开通 MFA 也用同一个微信账号,登录的时候这个微信扫码登录,再手机上确认登录。
    0o0O0o0O0o
        10
    0o0O0o0O0o  
       2023-03-17 08:58:22 +08:00 via iPhone
    @jobmailcn 微信被封号咋办…
    buxiaozisun
        11
    buxiaozisun  
       2023-03-17 09:12:48 +08:00 via Android
    开通的时候可以去浏览器开发者那边找到 totp 密钥,就可以加到其他地方了
    livenpc
        12
    livenpc  
    OP
       2023-03-17 09:40:15 +08:00
    @jobmailcn 需要手动输入,微信扫码后只是跳转到小程序"腾讯云助手"的一个名为"虚拟 MFA"子页面,甚至连长按复制都没提供。如图:
    ![虚拟 FMA 页面.jpeg]( https://i.328888.xyz/2023/03/17/KTdzb.jpeg)
    nothingistrue
        13
    nothingistrue  
       2023-03-17 09:42:15 +08:00
    听起来像是微信要做一个对比 Microsoft Authenticator 或 Google Authenticator 的东西,但是技术水平不够,做不了既能脱离服务器做 MFA 应用又能连上服务器做同步密钥的东西,就简简单单弄一个云端虚拟 MFA 应用。这样糊弄出来的玩意,当然是没人愿意用得,当然就只能苦一苦内宾了。
    Citrus
        14
    Citrus  
       2023-03-17 09:47:06 +08:00 via iPhone   ❤️ 1
    其实不是云端虚拟 MFA ,就是把种子下发到本地。抓包把种子抓下来就行了,很简单。
    livenpc
        15
    livenpc  
    OP
       2023-03-17 09:47:57 +08:00
    @nothingistrue 微信小程序做的烂也就算了,关键是国内版用户没别的选,这才是最恶心的。
    PerFectTime
        16
    PerFectTime  
       2023-03-17 10:11:29 +08:00
    哈哈哈隔壁不是有 PM 吗?拉过来问啊
    PabloZhong
        17
    PabloZhong  
       2023-03-17 11:12:36 +08:00   ❤️ 2
    @PerFectTime
    正好我在。内部看了下,马上可以全量支持 google mfa 和微软 mfa ,当前也可以申请开白提前体验。
    0o0O0o0O0o
        18
    0o0O0o0O0o  
       2023-03-17 11:17:31 +08:00 via iPhone
    @PabloZhong 在 V2EX 反馈真的管用(
    summer2019
        19
    summer2019  
       2023-03-17 11:21:24 +08:00 via iPhone
    我是直接抓包小程序,把 TOTP 密钥抓出来了。。。
    然后加到微软 Authenticator 里了
    这设计属实是弱智
    PabloZhong
        20
    PabloZhong  
       2023-03-17 11:41:36 +08:00
    @summer2019 要不一块来聊下这块的设计建议呗:)
    joejhy
        21
    joejhy  
       2023-03-17 12:03:05 +08:00
    这个你可以找腾讯云的售后处理,之前我也搞过,一个工单建立桥梁,妥妥地,授权给他们去迁移就好啦~
    lhbc
        22
    lhbc  
       2023-03-17 12:20:41 +08:00
    @PabloZhong 支持 security key(比如 YubiKey)吗?
    lovesky
        23
    lovesky  
       2023-03-17 12:31:57 +08:00
    这个设计确实太恶心了,我上周也刚体验过。建议尽快支持使用第三方 app 。
    j20001112
        24
    j20001112  
       2023-03-17 12:44:31 +08:00
    @PabloZhong 国外大学德勤会计事务所都是用的 duo mobile, 2FA 验证的时候直接发送一个 push 推送到 手机和手表, 推送长按就可以选择拒绝或者允许. 手表无需长按推送就能直接选择拒绝或者允许, 整个过程不需要 0.2 秒就能完成 https://images.app.goo.gl/AkvytZ8L4rwMy9Xi8 https://images.app.goo.gl/6hCJFgvkweoQMNQx9
    blessingsi
        25
    blessingsi  
       2023-03-17 13:02:14 +08:00
    理解不了为啥会有这种行为。
    产研付出了更多的研发成本(而且做这个功能的人和腾讯云小助手大概率不是一个团队),客服付出更多人力时间去擦屁股,用户得到了更差的产品体验。那么到底谁获益了呢?
    kkk123
        26
    kkk123  
       2023-03-17 13:25:10 +08:00
    @blessingsi 产品得到 KPI, 部门大佬也有理由壮大队伍

    比如控制台 UI, 每年都改,越改页面空间浪费越多
    liuxu
        27
    liuxu  
       2023-03-17 13:33:08 +08:00
    怎么说呢,不喜欢就别用,等客户流失率达到一个级别,他们自然就重视去掉了

    顺便说下腾讯云账号用 qq 账号密码登录要点几下才能看到登录框你们都知道的吧
    mooyo
        28
    mooyo  
       2023-03-17 13:37:00 +08:00
    totp 有非常标准的方案,按照规范用 secret code 生成一个 URL ,然后转成二维码,auth app 扫码就能接入了。开发周期远小于搞个小程序。只能理解成纯粹的恶心人了。
    livenpc
        29
    livenpc  
    OP
       2023-03-17 14:26:08 +08:00
    @liuxu #27
    起初我的确只是觉得小程序扫码烦,但看到国际版文档后才发现的双标,显然后者更令人费解。
    livenpc
        30
    livenpc  
    OP
       2023-03-17 14:28:47 +08:00
    @blessingsi #25 所有扫码登录的 APP ,结果都不可避免的抬高了 DAU 数据,即便最初的目的不是这个。
    mooyo
        31
    mooyo  
       2023-03-17 14:32:23 +08:00
    @blessingsi #25 虽然人力成本和用户体验变差了,但是小程序的数据变好看了,下个晋级周期就能晋级了。
    mooyo
        32
    mooyo  
       2023-03-17 14:33:06 +08:00
    @blessingsi #25 具体到个人来讲他并不承担增加的成本,也不 care 用户体验,但是数据的增长和自己的绩效晋升都是密切相关的。
    vibbow
        33
    vibbow  
       2023-03-17 14:48:16 +08:00
    我就是因为这个非标的 MFA 放弃了腾讯云...

    每次登录还得拿手机,太麻烦了
    livenpc
        34
    livenpc  
    OP
       2023-03-17 14:48:23 +08:00
    题外话:昨天第一次用 passkey ,在 cloudflare ,体验海星。不知道大厂们跟进的意愿有多强
    kaddusabagei38
        35
    kaddusabagei38  
       2023-03-17 15:30:46 +08:00
    @PabloZhong #17 你内部部署啥呢?最开始我记得那个 mfa 验证码就是 totp 的,我现在腾讯云还在用 google 验证器,你现在把这功能收回去了又打开,还说要内测,就在这硬玩是吧?你们也知道你们自己做基础设施的,结果啥玩意都绑定微信,就凭贵司微信乱封号那股劲儿,你自己想想是那么回事么?
    kaddusabagei38
        36
    kaddusabagei38  
       2023-03-17 15:31:19 +08:00
    不想做咱们可以不做,不想玩咱们可以不玩,直接发邮件告诉用户我是你爹不就行了
    kaddusabagei38
        37
    kaddusabagei38  
       2023-03-17 15:38:55 +08:00
    我甚至可以把话放在这,你们这功能半年之内肯定上不了
    ThreeK
        38
    ThreeK  
       2023-03-17 15:56:46 +08:00   ❤️ 1
    每次看到这种双标就恶心,外国公司单独对中国产品不召回就算了,毕竟可能敌对。国内公司还搞自己人。
    放欧盟早给你罚死了。国内还在这狡辩个没完。
    FightPig
        39
    FightPig  
       2023-03-17 15:58:34 +08:00   ❤️ 1
    腾讯云登录真 tm 恶心的,以前绑定的用 qq 登录,现在好了,一用 qq 登录就让我打开手机 qq 点确认,以为一次就行了,结果 没两三天就要一次,说什么不安全,
    luojianxhlxt
        40
    luojianxhlxt  
       2023-03-17 16:48:23 +08:00
    @PabloZhong #17 请问如何申请内测
    liuleixxxx
        41
    liuleixxxx  
       2023-03-17 17:06:15 +08:00
    @luojianxhlxt 去提工单就好了
    gogogo2000
        42
    gogogo2000  
       2023-03-17 17:33:26 +08:00
    @vibbow MFA 本身是标准的 TOTP ,就是恶心你不给你 key ,所以无法直接绑定第三方的。实际上可以在微信上扫那个小程序码时抓包,其中就有 totp 的 key ,填到第三方里面去就可以搞定了。
    livenpc
        43
    livenpc  
    OP
       2023-03-17 23:07:24 +08:00
    tx 云国内版账号想要绑定第三方 MFA(TOTP)的解决方案(这不是本帖重点)目前有三个:
    1. 自己抓包,获取 seed-code
    2. 发起工单,申请内测
    3. 等正式版更新
    summer2019
        44
    summer2019  
       2023-03-18 09:05:13 +08:00 via iPhone
    @PabloZhong 像阿里云一样,直接给一个标准的 TOTP 步骤就足够了。毕竟阿里云也没限制只能用客户端获取验证码。

    而且腾讯云小程序用的,归根到底就是标准的 TOTP ,到头来整个微信专属二维码,还是恶心了用户
    summer2019
        45
    summer2019  
       2023-03-18 09:12:34 +08:00 via iPhone
    @PabloZhong 如果实在不想搞 TOTP ,那搞一个类似于微软的二步验证,体验也还不错。
    直接让小程序弹一个通知,点进去选择电脑屏幕对应的数字,直接就能批准。
    一来不用先点微信再进小程序再点 MFA 菜单,方便,
    二来也确实标新立异得有理有据,不至于让人骂。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1069 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:45 · PVG 03:45 · LAX 11:45 · JFK 14:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.