双因素认证(2FA, two-factor authentication)在国内似乎不流行?

2021-01-05 09:47:09 +08:00
 manami

双因素认证能很好地防止密码泄露导致的入侵问题。国外的很多网站在开启双因素认证,比如 Github 、Gmail 、Reddit 等。

经常多个网站使用同一套密码的原因,自己从去年年初开始习惯在一些国外网站开启双因素认证。试了 Google Authenticator 、Authy 、FreeOTP 等几款身份认证器,目前比较喜欢 Authy 这款 APP 。

但是双因素认证技术似乎在国内不流行?国内的网站、APP 好像更多的是通过发送短信的方式进行二次验证。从节省成本的角度考虑,对采用短信而不用双要素认证不太理解。

或者是我不知道,国内是否已经有在广泛使用双因素认证的案例。比如微信电脑端登录需要手机微信扫码确认这种是不是双因素认证的变体?

14014 次点击
所在节点    问与答
82 条回复
2yuansvip
2021-01-05 22:32:00 +08:00
@yuhuike 还有像微博这种流氓网站,密码从来没记住过
隔段时间就喊着改密码,改的时候之前用过的还不能用,
avrillavigne
2021-01-05 22:33:58 +08:00
公司内网用
hshpy
2021-01-05 22:36:51 +08:00
@systemcall 一般设置号锁屏密码和 pin 码手机泄露的几率就很低了,大部分情况都有时间办补卡,2G 网络,mac 网卡这些另说,如果碰上专业的就得争分夺秒了。


@beijiaoff 同,家人把解 pin 当成解屏给锁了,跑沟通 100 要服务密码,号码十多年了一直没用过服务密码早忘了,没有就得回老家,回老家路上没流量用也不方便,最终在 zfb10086 查到 puk 码,一下子看到了曙光,解锁后马上重置了服务密码。
Maskeney
2021-01-05 22:54:00 +08:00
跟节省成本没关系,短信验证码反而会提高成本。但是网安法要求必须实名,业内惯用做法就是绑定手机号间接实名,并且用户也乐得不用记密码,很多用户想能记清楚六位数银行卡密码就已经实属不易,当然会给日后换手机、号卡等埋下深坑,可是那又怎样呢?现在有几个不去图一时方便的呢,更何况更多的情况下你根本没得选,只能用唯一的短信验证码登录
Maskeney
2021-01-05 22:58:23 +08:00
@ired #19 你说的这一堆不敢说完全错误吧,但是的确与事实有出入,特别是你说的这个所谓“Google 算法默认配置”,Many OTP technologies are patented. This makes standardization in this area more difficult, as each company tries to push its own technology. Standards do, however, exist – for example, RFC 1760 (S/KEY), RFC 2289 (OTP), RFC 4226 (HOTP) and RFC 6238 (TOTP).
TigerK
2021-01-05 23:01:47 +08:00
短信跟随手机号码,即使手机更换了,也可以继续使用这种方式完成验证过程。
而基于 app 的二次验证,因为 app 卸载或手机重置后会丢失验证信息,导致用户无法登录,而大部分(国内)用户可能不会保存恢复密钥,产生的问题及解决成本更高。
shijingshijing
2021-01-05 23:08:43 +08:00
最早银行发的电子令牌是这种,其实挺好用的。
然后是外企里面接入 VPN,验证权限什么的用的很多。



我不太喜欢手机上的,我喜欢这种 RSA key
dallaslu
2021-01-05 23:14:10 +08:00
提供短信验证,还需要额外付出费用,国内厂商也不傻,为啥还要这么做呢?自然是有好处:

1. 免安装 APP,门槛低
2. 手机 OS 提供自动填写验证码功能,操作更快捷(此条存疑,因为防滥用还要填验证码)
3. 确认手机号即相当于实名
4. 每人号码有限,避免被薅羊毛
5. 手机号可用于大数据分析、电话营销
Luker
2021-01-06 00:08:40 +08:00
国内啥都要你的手机号,还是不给不让用那种 就很离谱
fline
2021-01-06 00:54:07 +08:00
国内的 2FA 都倾向于不让用户知道密钥是什么
ily433664
2021-01-06 09:05:13 +08:00
国内都用手机号就挺离谱的,手机一丢别人啥都能上去
heliotrope
2021-01-06 09:15:40 +08:00
前几年都用动态口令
以前做的项目 要用硬件二次认证 还有手机令牌 APP (和谷歌的那个身份验证器一样)
只是现在不流行罢了
不实用 都要一定的学习成本 要绑定
还不如手机短信直接认证的方便
zhaozs1
2021-01-06 09:20:50 +08:00
在服务器,云厂商用的都挺广泛的,私有云的动态口令也挺多的.我用的就挺多
raptor
2021-01-06 09:40:19 +08:00
你说的这叫 TOTP,只是 2FA 的一种,短信也是 2FA 的一种。
0TSH60F7J2rVkg8t
2021-01-06 14:22:05 +08:00
楼上那么多人迷信手机号是安全的,只是自己没遇到而产生的错觉。我有个手机号,多年前帮老妈办理的,号拿到后发现原主人绑的支付宝没解绑,联系支付宝客服,客服说帮通知原机主注销。过了一天来电话说联系不上原机主,让我用邮箱注册。然后我不甘心,登录淘宝,查看购物历史,找几个购物地址里的 3 个电话发了短信,要他们通知机主。可能是被当垃圾短信,没人理,没人回。当然我拿不到支付密码,但手机登录还是很容易的,隐私也能看到。而且最后多年后我还是成功把那个支付宝解绑掉了,把我这个手机号空出来了。至于怎么做到的,就不方便说了。但整件事告诉我的道理就是,手机号验证登录一点都不安全。
xingyuc
2021-01-06 18:40:23 +08:00
@crab 我设置了啊,但是大多数人没有设置的吧
taobibi
2021-01-07 13:33:59 +08:00
@systemcall 活体检测所采集的视频不确定是不是有本地缓存,我们公司拍下来用户的身份证照片都是本地有缓存的。另外移动 APP 在线开卡的人类活体认证的视频,可以在手机里面找到本地视频(😓)
justaname
2021-11-24 06:54:14 +08:00
@miaoever 防止手机失窃带来损失的做法是给手机卡上 PIN 码
justaname
2021-11-24 06:57:36 +08:00
@systemcall 伪造身份去运营商线下补卡本身就是犯罪风险很高的事情了,除了网银这种产品几乎没人会冒这么大风险干这事,这比以前偷偷跑别人屋里偷现金还容易被抓吧
leoleozhu
2022-05-26 10:08:37 +08:00
@essethon 阿里云可以用 Google Authenticator

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/741741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX