国内几乎所有网站都可以用验证码找回密码,那么 [两步验证-Google 身份验证器] 是否没必要使用了?

2020-08-05 00:32:53 +08:00
 find456789

虽然 生成的 6 位数字,可以离线使用, 但是现在几乎任何时候都可以接收验证码

那么 还有必要 开通 [两步验证 中的 Google 身份验证器] 吗?

3524 次点击
所在节点    问与答
17 条回复
iseki
2020-08-05 00:39:54 +08:00
我倒觉得 2fa 才是正确方案,短信需要你信任运营商,邮件需要信任邮件提供商,唯有 TOTP,你自己的设备还不信吗
laike9m
2020-08-05 00:41:24 +08:00
啥意思,目的根本不一样啊,怎么对比
cydian
2020-08-05 00:46:21 +08:00
然而还有凭借短信验证码可以取消二步验证的呢
BrettD
2020-08-05 00:49:14 +08:00
SIM 卡可能被人伪冒机主补卡,也可能被 2G 降级攻击+嗅探
TypeError
2020-08-05 00:52:27 +08:00
短信问题太多
换卡攻击
SS7
伪基站
XsterreX
2020-08-05 03:11:18 +08:00
我一直的想法是,实名制催生短信注册验证登录,一站式解决所有问题
国外大多用二步验证,更像是国外的类短信解决方案

说不是孰优孰劣,各自环境不同吧
短信直接登录,确实是问题,感觉正解是密码登录加短信验证
Laforet
2020-08-05 05:49:48 +08:00
邮件至少可以用 tls+gpg 签名,而短信从来都不是可靠的传输协议,没法比。至少已经被报道的那些社工实例里还没有 totp 的 2fa 被攻破的例子。
iConnect
2020-08-05 08:03:35 +08:00
国内强制实名制需要绑定手机号,使用短信验证是水到渠成,对用户最少干扰的选项。2fa 从技术逻辑上肯定是更安全的,但是实际使用中,会出现手机丢失等意外情况,然后就彻底懵逼啦。

我就有因为刷机把验证器毁了,后果不堪设想。总之,在国内手机被盗,可以拿身份证补卡,没有办法补手机。所以还得多处备份 2fa,其实并没有更安全。
xingyuc
2020-08-05 08:13:59 +08:00
@iConnect 微软、google 的有在线备份,1pwd 也可以账户同步,比到处留手机号强多了
ifxo
2020-08-05 09:00:49 +08:00
黑你的号不一定要改密码,可以和你共用啊,你也发现不了
iConnect
2020-08-05 09:05:30 +08:00
@xingyuc 那么问题来了:你是如何保障微软、谷歌的账号安全的呢?
anyclue
2020-08-05 10:19:00 +08:00
@iseki 也不一定吧,验证码是 Google 自家的 App 根据密钥产生的,Google 是一家商业公司,存在将密钥传回服务器后台偷偷生成验证码的可能,就是类似你说的验证码需要信任提供商。这个方案是没有问题,但是这个 App 后期好像也不开源了,有没有后台的肆意操作毕竟就不知道了
zy8848
2020-08-05 10:31:59 +08:00
有些网站的登陆真的是直接登陆

有些网站的登陆是经过风险计算后的登陆

“Google 身份验证器” 在理论上的确更安全

但是使用 n 项不很安全的验证因子跑出来的结果未必就不安全

登陆方式的便捷正是说明新技术的进步
Xusually
2020-08-05 11:12:08 +08:00
@iseki 自己设备 TOTP 这个没问题。
但是 2fa 并不是就是 TOTP 啊,2fa 只是两步验证而已,第二个因素有时候是短信、有时候是 iCloud 一样的其他设备验证码推送、有时候是另一个邮件,有可能是 OTP 的某一种。
iseki
2020-08-05 13:06:22 +08:00
@Xusually 是,我理解错他题意了,我想怼的是验证码登录那种东西
phy25
2020-08-05 14:41:24 +08:00
@anyclue #12
> 验证码是 Google 自家的 App 根据密钥产生的

Time-based One-time Password algorithm (TOTP) 是人人可实现的 RFC6238,其他一些 2FA 协议也同样是标准,至于说为什么大家到最后都在用 Google 的大概还是品牌信任吧。
anyclue
2020-08-06 08:05:13 +08:00
@phy25 TOTP 的实现标准和算法没有问题,但是 App 有没有额外加“料”,又不是开源的,谁能保证没有问题,要是开源的我说的就是错的,不是的话就可以质疑

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/695679

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX