为什么国内网站喜欢用短信作二次验证,而不用 TOTP?

2022-05-25 18:03:29 +08:00
 liuidetmks

大网站,百度,qq, v 站这类小芝麻就不说了

10028 次点击
所在节点    程序员
74 条回复
nothingistrue
2022-05-26 09:26:15 +08:00
防止密码泄露的双因素验证,跟防止账号共享的额外验证,是两码事。短信验证作为防止密码泄露的手段,那是脱裤子放屁基本没用,它的防攻击性甚至不如密码单因素验证。但是,作为防止账号共享的额外验证手段,短信验证是相当有效并且成本特别低的。

PS:喜欢短信验证的不止国内,大名鼎鼎的 Steam ,你要不想裸奔或者嫌使用邮箱麻烦,就得用它专门的基于手机号绑定的两部验证方法。当然,区别还是有的,Steam 会明确告诉用户要手机的原因就是防止账号共享,国内不会告诉你。
bigbigpark
2022-05-26 09:58:32 +08:00
国外用的就是香呗
weixiangzhe
2022-05-26 10:50:38 +08:00
手机号 我觉得好危险,因为手机号注销后是会流出到市场的,别人直接就短信登录了吧,而在座的老哥又有几个验证了身份信息的
weixiangzhe
2022-05-26 10:51:14 +08:00
在座的老哥又有几个写了验证了实名身份信息的代码的
liuidetmks
2022-05-26 10:51:30 +08:00
@Rache1 腾讯可能觉得第三方 app 不可信,怕你批量注册账号,手机号有个功能是验证真人。
takato
2022-05-26 12:07:10 +08:00
从方便的角度上考虑,现在实际情况是非技术人员脑子里确实很难装得下复杂的东西,大家只关心怎么用,而完全不关心细节。
离线的 TOTP 还是非常有必要存在的。在某些特定的领域,受众群体不同,可以使用的方案应当也是不同的。
另外提一点,当短信作为一种中心信道而存在的时候,它受攻击的可能性就会大大增加,另外这里要特别考虑人和人组成的集合的情形。
所以鸡蛋还是要放在不同的篮子里。

实名制也有一个问题,就是账号信息的维护也会成为成本,如果要求绝对安全就必须要求每次使用都要验证,这是一个无限追问“你因为什么而是你”的问题,这势必会让产品的使用变得不那么方便。
简而言之一句话,安全是相对的,应该没有绝对的安全与绝对的方便共存的方式。
sunhelter
2022-05-26 12:13:53 +08:00
因为国情啊,你说的国外指的是美欧发达国家,受教育程度比较高,肯定不包括亚非拉第三世界人民。对于国内来讲短信门槛低,就跟国外用信用卡国内用二维码一样
chrosing
2022-05-26 12:21:40 +08:00
可以去工信部搜索一下,工信部明确要求,国内注册在案的所有公司都应该按照要求进行实名入网,这也是导致为啥需要短信验证的源头.
veightz
2022-05-26 12:36:54 +08:00
我司用了,使用问题咨询量很大,很多用户搞不明白这是什么东西。弄丢用串的情况很多。
binux
2022-05-26 13:08:13 +08:00
问就是
国内用短信就是国情。
国外用短信就是人文关怀,功能机也能用。
Alliot
2022-05-26 13:10:49 +08:00
TOTP 怎么管你 人家的二次验证是为了账号安全吗? 是为了实名。。。
titanlpy
2022-05-26 14:08:20 +08:00
要不是上网,我还以为国外不用短信验证码呢
unco020511
2022-05-26 14:12:01 +08:00
google 微软的二次验证要多难用有多难用
biubiuF
2022-05-26 14:12:41 +08:00
实名
SenLief
2022-05-26 14:20:30 +08:00
国外也有短信验证码吧,要不那些 sms online 的都是美国和英国的号码是做什么用的。
wanacry
2022-05-26 14:33:26 +08:00
用其他的你怎么保证实名,自有国情在
DT27
2022-05-26 15:15:11 +08:00
因为国内强制手机号认证。
leavic
2022-05-26 15:18:01 +08:00
短信验证,意味着强力机构可以随时劫持你的任何账号。
Zy143L
2022-05-26 15:21:47 +08:00
更多是为了实名制需求..
国内的 2FA 很怪...
基本上都是靠短信验证码或者微信扫码
HankAviator
2022-05-26 15:22:13 +08:00
仅仅打开 TOTP app 这一步就劝退很多人了,就是懒到这个地步

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855271

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX