youngzy
2022-09-23 12:23:10 +08:00
当然有
2FA 就应当是独立于 邮箱 /手机号 的验证体系
目的就在于当 其他验证手段已经不安全时(如邮箱已经被盗,手机号被回收或被盗) 作为最后一层保护(因为 2FA 密钥只下发一次,所以理论上只有持有密钥的人有能力计算出当前的密码。)
对于你不喜欢的点:
1. 无解,当然如果你记住了密钥然后自己根据当前时间算出动态密码理论上也行。。
2. 2FA 其实本来就不应当被同步,同步会造成多份密钥副本,传输和存储时密钥泄漏的风险会大幅增加
3. 安全的 2FA 应当只能够被自己本身,或随密钥下发应的恢复码恢复。如果 2FA 能够随意地被其他形式解除(如手机或邮箱验证),那么其实安全性没有太大意义。保留原始密钥推荐的做法是写在纸上,物理保存。
4. 其他方案的攻击面与 2FA 不同(如邮箱验证可以撞库,手机验证可以是伪基站和钓鱼)。2FA 只能通过物理接触(获取到密钥或恢复码)进行攻击。
最后,如果认为账号的安全等级没必要使用 2FA ,那么不去开启 2FA 就是了。