直接用 TOTP 代替密码登录 有啥问题么?

147 天前
 est

密码难得记,被破了又很麻烦。

既然都有各种 2FA 绑定,要不直接用 账号+TOTP 登录。不要密码了。

TOTP 每分钟刷新一次,限制每 10 秒只能尝试一次登录。这样有啥安全问题么?

2943 次点击
所在节点    信息安全
29 条回复
leonshaw
146 天前
服务端要算出同样的验证码来比较,没办法加盐。除非用某种同态变换,肯定不是现在的算法。
neroxps
146 天前
passkey 现在不是很舒服么
artiga033
146 天前
@liuidetmks 微软这个最搞笑,如果你删掉了账号密码,那就无法远程桌面到 Microsoft 账号的 Windows ,因为 rdp 协议目前还只支持经典账号密码
hicdn
146 天前
现在的 passkey 就是在解决这个问题
azraeljack
145 天前
密码至少还能记住,totp 还得每次掏 authenticator 出来查,这种场景用 passkey 不是更好么。
hanyuwei70
145 天前
如果是全新系统一律推荐直接上 FIDO2
MagicalCarl
145 天前
我觉得安全性是可以的,我记得之前的支付宝未登录支付的话只需要输入账户名和 6 位数支付密码即可,支付密码只能尝试五次
dorothyREN
145 天前
totp 30 秒内 10w 次一定可以登录成功
BadFox
143 天前
@keyfunc
OTP 喷洒...思路是 OK 的,但是异常动作检测就行,一个 IP 对不同用户喷洒多次就直接封禁,这样你有几个 IP 可以切?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1055109

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX