双因素认证（2FA, two-factor authentication）在国内似乎不流行？

我不太理解，短信验证码难道不是双因素的一种吗？

短信，邮件接受验证码都可以算双因素验证，只不过国内现在连输密码这个步骤都跳过了，可能是因为国内手机号都是实名的？

另外国内游戏用双验证挺早的，以前用那种物理的密保卡，现在各种令牌之类的都算双验证。

@cairnechen 其实我对 2FA 的概念也不是太了解。目前我接触到国外的 2FA 都是下载身份认证器 APP 扫码绑定，然后每次可以进去刷新获取一个动态码的方式

银行的电子密码器这种物理固件好像

@manami 这不就是 10 几年前流行的将军令吗

@manami #3 就像以前的 QQ 动态令牌

国内手机号都快成惟一的账号 id 了，靠邮箱来 2fa 肯定不行。离线的 totp 和 hotp 没 App 搞，我猜想产品他们肯定又要说什么国内用户水平不高之类的话，然而我寻思其他国家也不是人均懂王。

QQ 安全中心令牌，银行电子验证器，应该也算是吧？

现在主要是手机都实名制了 所以用手机验证了

短信安全吗，手机丢了，卡丢了，不危险吗。手机放家里了，无法登录，不折腾吗

@manami 手机短信验证码 也是动态码 一个意思。

了解一下畅游旗下的各种游戏，就是你说的两步验证。

2FA 身份验证好像可以离线的，现在用的 Authy 都是可以离线获取动态码，有没有专业人士解答下

@manami #13
https://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html
所以为什么要求时间跟服务器要求 30 秒误差内

@manami #13 正好我们前两天刚实现了一个
因为 TOTP 算法是定好的，我们服务端生成好一个密钥，做成二维码给用户扫，扫完了手机端按照相同的算法就生成了那 6 位数字，不需要联网

@manami Authy 那是 Time-based One-time Password (TOTP)，是通过一个密钥加上当前时间算出来的，密钥是存在本地的，所以可以离线使用。

在公司维护了一个对内的 totp 服务，软件也是内部用的软件对接 sso 自动开通令牌。国内不普遍我觉得重要的原因是手机人人都有，用短信能减少用户学习成本。

用 keepass 就能很好代替各种 2fa 客户端,暴雪的啊 steam 的啊都能装一起

负责过用户系统，也调研 过 2FA/MFA(多因素)。
海外用户多的主要的原因在于，账户习惯使用邮箱。从而在安全性上更加需要二次验证。（如 Github 、Gmail 、Reddit ）
国内由于手机号（并且近些年的实名），本身短信验证码就是 2FA 的一种实现方案。

------------------------

题外话，从安全性来说，手机短信的安全性 > TOTP 离线动态码（简称令牌）。
业界通用的方案是绑定令牌前，需要绑定手机号。
也可以通过手机验证码解绑令牌。

------------------------

为什么要求时间跟服务器要求 30 秒误差内？
这个只是 Google 提供的算法默认配置而已，算法本身可以简单理解为 hash (密钥 + current_time() / 30) 得到的值。
所以大于 > 30 秒，客户端 和 服务端 计算出来的 hash 值就不一致了。

------------------------

误差大于 30 秒的解决方案？
server 的校验客户端计算出的 hash 值时，可以配置允许的误差，如前后加 N 个时间片（ current_time() / 30 ）。
举例：如果允许前后加 1 个时间片，服务端几计算的动态值为 CH 。
那么 server 会校验 3 次。
CH == hash (密钥 + current_time() / 30)
|| CH ==hash (密钥 + (current_time() / 30) - 1)
|| CH == hash (密钥 + (current_time() / 30) + 1)

匹配成功一次即为验证成功。

微软自家的 Authenticator，连密码都不用输就登录了。既然都需要打开 app 了，感觉扫码登录更快。