双因素认证(2FA, two-factor authentication)在国内似乎不流行?

2021-01-05 09:47:09 +08:00
 manami

双因素认证能很好地防止密码泄露导致的入侵问题。国外的很多网站在开启双因素认证,比如 Github 、Gmail 、Reddit 等。

经常多个网站使用同一套密码的原因,自己从去年年初开始习惯在一些国外网站开启双因素认证。试了 Google Authenticator 、Authy 、FreeOTP 等几款身份认证器,目前比较喜欢 Authy 这款 APP 。

但是双因素认证技术似乎在国内不流行?国内的网站、APP 好像更多的是通过发送短信的方式进行二次验证。从节省成本的角度考虑,对采用短信而不用双要素认证不太理解。

或者是我不知道,国内是否已经有在广泛使用双因素认证的案例。比如微信电脑端登录需要手机微信扫码确认这种是不是双因素认证的变体?

13988 次点击
所在节点    问与答
82 条回复
Jooooooooo
2021-01-05 10:30:29 +08:00
tob 的很多, 为了安全可以牺牲便捷性

比如登录公司内网
ired
2021-01-05 10:32:54 +08:00
@ired
举例:如果允许前后加 1 个时间片,服务端几计算的动态值为 CH 。
-------------笔误--------------
举例:如果允许前后加 1 个时间片,客户端计算的动态值为 CH 。
essethon
2021-01-05 10:47:53 +08:00
@dnsdk 微软是我用过的登录方式选择最多、体验最好的,YubiKey 一插,莫说密码,连用户名都不用输入😂

@manami 据我所知国内大厂(就是那两家大厂)的习惯是,2FA 可以有,除了短信外 TOTP 可以有,但是一定要自己搞一套,坚决不支持公开通用的洋人的 App.
比如说腾讯云,它也支持 6 位数验证码,但是必须用那个腾讯云助手微信小程序绑定,不给你使用 Google Authenticator 等通用 App 的机会。

当然可能有例外,如有请指正。
yuhuike
2021-01-05 10:51:19 +08:00
国内现在啥都是短信,很多网站密码都是废的,你换了设备必须手机验证
libook
2021-01-05 11:02:41 +08:00
现在运营商搞了一个一键登录的功能,类似短信验证码,但是把收发验证码的过程省了,运营商在用户同意之后直接提供手机号给 App 厂商,确保是准确的。

有安全意识的人不多,这部分人又觉得大多数 App 都没必要做到特别安全,剩下的密码加短信也就够了,海外一般是密码加动态口令,这个是不同的用户习惯导致的。

国内等保会对企业内系统要求使用双因素认证,但不要求具体形式,只要求使用现代密码技术。
USAA
2021-01-05 11:03:13 +08:00
我是不想花钱买设备。
就算有设备,我只想买一个设备所有的网站都可以使用
但是问题是,这是块大蛋糕,除非是能垄断,不然谁碰谁死
337799
2021-01-05 11:12:53 +08:00
国内都是短信了。 国外当年应该是由于短信属于个人隐私,用户不太愿意填,大部分是 email,或者类似 Google Authenticator 之类的 app 。 华为手机禁了 google service 之后,Google Authenticator 也用不了了,就很难受了。
linksNoFound
2021-01-05 11:39:22 +08:00
你说的这个设备,它免费吗?
manami
2021-01-05 11:42:22 +08:00
@linksNoFound 是免费的
v2tudnew
2021-01-05 11:44:23 +08:00
@337799 #27 我记得谷歌是离线版,不需要联网也可以用啊,也不需要谷歌构架。
v2tudnew
2021-01-05 11:45:53 +08:00
其实我想给 OpenWRT 也加个 TOTP,但不知道怎么弄。
baomoe
2021-01-05 11:48:51 +08:00
玩过网游没 古剑奇谭网络版 剑网 3,都是你说的这种,既可以离线也可以在线。叫安全令牌。魔兽应该也有。
xmumiffy
2021-01-05 12:10:52 +08:00
因为国内大部分你见到的账号系统没有这么高的安全需求
toptyloo
2021-01-05 12:15:27 +08:00
@essethon 阿里云支持通用的 TOTP 软件
crab
2021-01-05 12:15:59 +08:00
@xingyuc 这就属于抬杠了,毕竟任何都可以泄露。
belin520
2021-01-05 12:24:42 +08:00
你的标题幸亏是问号结尾的,不然就是错的。
miaoever
2021-01-05 12:36:45 +08:00
请不要使用手机短信作为 2FA 验证手段,因为及其不安全,难道大家忘了之前那个因为手机被盗而一夜间被开通各种网贷的事了么。
miaoever
2021-01-05 12:40:22 +08:00
接楼上,补上链接:<一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链> https://www.freebuf.com/articles/network/249294.html
taobibi
2021-01-05 13:03:00 +08:00
国内“安全”的核心是实名+可管可控。楼主可以关注一下各种国内安全大会的讲演。每次“可管可控”都是第一位的。至于用户端安全,不是核心内容。因为造成了经济损失可以通过打官司解决,而做的完全可管可控之后,也很方便给法院提供证据。
去年开始,有的安全厂家开始推广“诱导安全”策略,就是不再堵截账号入侵,而做好日志及追踪系统。通过日志系统把人抓了就解决问题了
0TSH60F7J2rVkg8t
2021-01-05 13:06:33 +08:00
@miaoever 是的,而且手机已经不是双因素的因子了,它已经成为单因素登录。很多 app 都支持手机号一键登录。而双因素最主要的问题是,丢失任何一个 因素都不会导致被盗号,而且有至少 3 个因子存在(密码、2FA 密码、救援码),只要保证手里同时有 2 个因子,账号就不会丢。丢失任意一个,也不会导致账号被盗。而手机号不仅做不到上述几点,甚至还弱化了双因素的安全性。为了弥补这个缺失,所以很多厂商,采取了获取扫脸信息的其它因素来辅助验证,美其名曰更安全,实际上是抛弃了安全方案而选用了一个需要泄露生物信息的更复杂方案。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/741741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX