双因素认证(2FA, two-factor authentication)在国内似乎不流行?

2021-01-05 09:47:09 +08:00
 manami

双因素认证能很好地防止密码泄露导致的入侵问题。国外的很多网站在开启双因素认证,比如 Github 、Gmail 、Reddit 等。

经常多个网站使用同一套密码的原因,自己从去年年初开始习惯在一些国外网站开启双因素认证。试了 Google Authenticator 、Authy 、FreeOTP 等几款身份认证器,目前比较喜欢 Authy 这款 APP 。

但是双因素认证技术似乎在国内不流行?国内的网站、APP 好像更多的是通过发送短信的方式进行二次验证。从节省成本的角度考虑,对采用短信而不用双要素认证不太理解。

或者是我不知道,国内是否已经有在广泛使用双因素认证的案例。比如微信电脑端登录需要手机微信扫码确认这种是不是双因素认证的变体?

13989 次点击
所在节点    问与答
82 条回复
0TSH60F7J2rVkg8t
2021-01-05 13:07:16 +08:00
而双因素最主要的问题是->而双因素最主要的好处是
essethon
2021-01-05 13:20:46 +08:00
@toptyloo #34 感谢,查了一下文档确实。我最近都没有在用阿里云产品,不过印象中前两年我还在用阿里云的时候是不支持的,可能那时候还叫 MFA 。现在文档里有一句「多因素认证( MFA )已更名为 TOTP 。」
xingyuc
2021-01-05 15:16:26 +08:00
@crab 但是在中国手机丢了问题很严重啊,我以前丢了整个人都懵了,挨个给银行打电话冻结银行卡
lbyo
2021-01-05 16:16:53 +08:00
@337799 #27 用 Gmail 注册了 Microsoft Authenticator
crab
2021-01-05 16:18:10 +08:00
@xingyuc 你是不是没设置 sim 卡的 Pin 锁,理论上丢了补卡下就好啊。
systemcall
2021-01-05 16:52:35 +08:00
@crab 理论上,知道手机号有很多办法得到身份证号,凭着身份证号可以去运营商的客服那里得到 pin 码
hyshuang2006
2021-01-05 18:15:55 +08:00
短信接收验证码?几分钟后甚至半小时后才收到,效率体现在哪?
systemcall
2021-01-05 18:47:06 +08:00
@hyshuang2006 用户只是消耗品而已,要考虑消耗品的感受吗?
shyling
2021-01-05 18:48:10 +08:00
国内一般的场景是不那么流行,有的直接手机号一键就登陆了。

支付时大部分还是密码 + 短信验证码的。。

真要是手机丢了,app 看 code 和 收短信好像区别也不大。。(手机还能挂失搞个临时停机?)
tsukiikekaoru
2021-01-05 19:01:37 +08:00
因为没有经过 web 的大规模洗礼。web 时代电子邮件才是底层的基础设施服务,每个人都必有一个电子邮件账户。而国内全民数字化是在移动互联网微信、抖音、快手崛起以后,手机成了底层的基础设施,每个人必有一个手机号,而此时的用户由于不再需要接触 web,电子邮件服务根本不再是必需品,这一阶段的用户由于知识水平问题也不会 web 、电子邮件那一套逻辑,再叠加 17 年的实名制,导致所有企业可以名正言顺的采取统一行动强制从账户体系从电子邮件切换到手机号,而不必担心反弹。在那之后的公司很多更进一步完全舍弃电子邮件甚至舍弃密码,强制要求验证码登录。这一现象再注重数据的公司和盛行广告推销的企业尤其严重。
TypeError
2021-01-05 19:21:03 +08:00
@cairnechen 短信风险极高
hshpy
2021-01-05 19:49:13 +08:00
@systemcall 解锁拿 puk 码或补卡要本人和身份证,如果在异地还需要服务密码。
SenLief
2021-01-05 19:49:29 +08:00
@systemcall pin 更改后运营商那边应该是没有的,需要 puk 解锁掉 pin 。这个就要看营业厅是否违规操作了。
SenLief
2021-01-05 20:28:39 +08:00
其实手机验证码也算是 2fa 吧,和那些 app 验证有什么本质上的区别吗?手机丢了被解锁了,一样不是打开 app 看。
Tumblr
2021-01-05 21:04:32 +08:00
楼主对 MFA/2FA 的理解太狭隘了。。。
一般说到认证首先是账号+密码,除此之外,场所(比如信任的网络环境)、密保问题、图片、短信、验证器以及一些物理验证(卡、密钥等)等都算是多因子验证的方式。
chinvo
2021-01-05 21:14:40 +08:00
@ired #18 短信的安全性是低于 OTP 的,除非 2G 网完全关闭

激活 OTP 前验证手机是因为单验证密码的安全性低于密码+手机的组合,而不是因为手机比 OTP 安全
systemcall
2021-01-05 21:22:30 +08:00
@hshpy #52
只要是线上办理的话,就有些办法。有人脸照片甚至录像,过活体检测没那么难。我去过一些网吧,那边的活体检测就有办法弄过去。而且活体检测所采集的视频,又怎么防止再泄漏呢?
另外,如果是 2G 没有关的地区,降到 2G,有办法弄下来短信
服务密码好像可以用身份证号重置。人脸+身份证,并不算难弄到。比起买那些东西花的钱,可能得到的利益多得多
littiefish
2021-01-05 21:26:20 +08:00
国内只要你手机号
xcstream
2021-01-05 21:27:32 +08:00
微信 pc 登陆要拿手机 就很烦
beijiaoff
2021-01-05 21:52:44 +08:00
@hshpy 去年 9 月,北京移动,自己不小心锁了 sim 卡,让别人帮我打电话,没有本人就要来了 puk 码。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/741741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX