所谓的账号安全强制用 2fa 属于是因噎废食了, 完全不理解为啥国外大厂强制要求这玩意
你说他安全其实也是个纯靠手机才能使用的验证器, 这东西怎么看都不可能比短信安全
而且还容易丢失一丢失就完全无解, 纯纯的坑自己
印象里二十年前银行卡开通网上支付会送一个类似 2FA 的机器, 会隔几秒换一组数字作为验证码
结果后来线上支付发展起来之后, 这东西直接就淘汰了
国外那些人也不知道脑子里哪里出问题了, 把这玩意捡回来当个宝了
第 1 条附言 · 1 天前
这里 2FA 特指 TOTP, 我并不是说短信多好只是拿短信和 TOTP 对比
 |
1
kiracyan 1 天前  12
跟手机验证码区别就是 避免暴露手机和不需要短信服务
|
 |
2
DarkCat123 1 天前 1
2FA 是 2FA
纯靠手机做 2FA 是纯靠手机做 2FA ,纯靠 Ukey 做 2FA 是纯靠 UKey 做 2FA 。 你可以解释一下你是反对 2FA ,还是反对 2FA 的验证方式单一吗? |
 |
3
paopjian 1 天前
一种增强用户依赖性, 间接推广手机软件, 在世界上持有量最大设备上保持使用率的产品, 2FA 完美给用户添加麻烦但是给厂商带来方便, 厂商当然愿意推
国内因为 sim 与身份强绑定才避开了 2fa 的麻烦, 但是你不能说 app 不是一种 2fa, app 也能登陆 PC 页面. 国外手机号随便注册, 邮箱随便注册, 用信用卡验证身份都不一定保险, 黑灰产盗刷都麻了, 2FA 算是少数几个低成本身份验证了 |
 |
4
hentailolicon OP 1
@DarkCat123 我反对强制使用 这东西好多国外的大厂强制要求使用 之前 google authenticator 还出 bug 导致我数据全丢失 一点补救的办法都没有
|
 |
5
canteon 1 天前
没区别.公司的 2fa 验证码也是天天给领导要
|
 |
6
edcheong0701 1 天前
你用過 1Password ,你就不會這樣說了
Keepass not bad as well. |
 |
7
LokiSharp 1 天前
@hentailolicon 2FA 是通用协议,各种设备都可以用
|
 |
8
lnbiuc 1 天前
2FA 有 Recovery codes ,记下之后可以恢复的
有的用户全平台都用同一个密码,不强制两步验证/实时验证,这部分用户账号安全性太低了 我觉得是好事,能开 2FA 的我都开了,bitwarden 内部都能集成,也能跟密码一样自动填充,已经无感了 |
 |
9
xixiv5 1 天前
2FA=将军令
|
 |
10
yuuluu 1 天前 8
所以说应该广泛推广 passkey
|
 |
11
Tiande PRO 自建 vaultwarden 保存,很难有人会针对个人盗库,还要再破解主密码。
因此一般能开的安全模式都会开,不觉得麻烦。 |
 |
12
FozillaMox 1 天前
2FA 不只有手机一种方式。
|
 |
13
Tiberisino 1 天前 3
我其实想回到只用输入密码的最原始状态
|
 |
14
RavelloH 1 天前 via iPhone
所以我现在开发 app ,登录方式都带一个 passkey 了
|
 |
15
docx 1 天前 via iPhone
银行之前发的密码器,确实被淘汰了
腾讯之前还出过 QQ 密保卡,本质上这些东西都差不多 强制使用确实烦人,但也是被迫没办法,只能自己做好备份了 |
 |
16
butanediol2d 1 天前 4
OP 是不是不用密码管理器。
用密码管理器之前,我也不喜欢 TOTP ;用密码管理器之后,能上 TOTP 的绝对不用短信/邮箱验证码。 用密码管理器自动填充比掏出手机看验证码还是舒服多了。 顺带一提,TOTP 只是 2FA (双因素认证)的一种形式,短信/邮箱验证码、强制要求使用 App 确认、硬件密钥等也是 2FA 。 |
 |
17
Overfill3641 1 天前 1
强制 2FA 是因为一些二货全世界统一密码,怕丢就用邮箱验证呗。
短信也是一种 2FA ,国内早已强制短信登录了。 更好笑的是给你个账户密码登录框,反手再要一个短信验证码,然而你可以直接短信登录。 |
 |
18
flyqie 1 天前 via Android 5
我不讨厌 2fa ,我只讨厌强制 2fa 。
本身可以做个可选,有需要就用没需要就不用,现在不少"为了安全"强制 2fa ,这就很讨厌。 以前有些偏技术类的网站/应用不强制,现在也开始强制了,完全无法理解。 |
 |
19
p4d9k 1 天前
passkey 好,手机号有可能收不到验证码。
|
 |
20
UnluckyNinja 1 天前
用令牌 2FA 不是为了防呆,是防各种外部因素,国外被墙平台的短信你现在还能收到几个,还有隐私问题(诈骗电话国外更严重),而令牌没有这些缺点。
要说令牌手机丢了就用不了,那手机丢了短信同样也用不了,要说可以补卡,那令牌也有安全恢复码。 此外手机号收费、令牌免费;令牌换手机无痛迁移,短信如果要换号你就换吧,一换一个不吱声 |
 |
21
kenniewwwww 1 天前
safari 无缝输入 2fa 所以我无所谓……
|
 |
22
Stop 1 天前 via iPhone
谁说 2fa 就是手机了? passkey yubikey ,Google authenticator ,了解一下?存在 1password 里面也不需要打开手机啊
|
 |
24
trn4 1 天前
TOTP 是 2fa ,短信是 2fa ,yubikey 是 2fa ,邮件是 2fa ,甚至给你寄信也是 2fa 。
|
 |
25
qiaorenzhi 1 天前
系统使用手机 2FA ,手机只要能开机,2FA 就能用,比短信的话,信号不好可能接收不到短信。
反对强制绑定。 |
 |
26
AmericanExpress 1 天前
Two-factor authentication 又不是 phone authentication ,怎么就纯靠手机了
|
 |
27
agood 1 天前 via iPhone
强制绑定手机验证才最不安全,包括实名制导致所有人的个人信息泄露,等于在互联网裸奔,电诈也是大部分利用短信验证码转走你的财产
|
 |
28
busier 1 天前 via iPhone
监管需要 隐私保护理念不同
就好比国外通用邮箱客户端软件已经开始玩 OAUTH 身份验证了,国内通用邮件客户端还在随机生成客户端密码一样。 |
 |
30
hash 1 天前 41
干什么都需要手机接短信验证码才是他妈的傻逼玩意儿
|
 |
32
RobinHuuu 1 天前 via iPhone
居然把手机短信验证码当宝
|
 |
33
TarotVoyager 1 天前
实名制上脑的就喜欢短信验证这种糟粕
|
 |
34
irainsoft 1 天前
是你没用过好的,TOTP 在各个系统平台都有不同的选择,不是一定要选移动端 Google Authenticator
2FA 的形式有很多,许多主流方法都是可以完全抛弃手机的 |
 |
35
chendy 1 天前
2FA 主要是没啥额外成本,发短信毕竟是要钱的,还有风控没做好被人刷的风险
但是短信验证码简单,大部分能正常使用手机的人都能用明白 而我们的 2FA ,别说一般客户,就我们 IT 内部,用不明白的,天天弄丢找人重置的都大有人在  |
 |
38
yulon 1 天前
纯靠手机的不是高贵的国内公司?国外大部分不是随便导出给各种设备
|
 |
39
crocoBaby 1 天前
手机丢失了就不能用了吗?
|
 |
40
Tumblr 1 天前
hmm 。。。
- 2FA 是时代倒退的产物 - 不可能比短信安全 短信验证码,或者叫 OTP ,本身不就是 MFA 里的一种么??? 2 factors authentication 是一种强化安全的机制,验证器也好,短信也罢,都是一种 factor 。 所以,我貌似明白 OP 在说什么,但站在我的职业(信息安全)又不太明白 OP 在表达什么。。。 |
 |
41
chocotan 1 天前
不知道是谷歌还是微软那个 app 有奇葩 bug ,我的 github 账号已经遇到两次验证码不对的情况了,死活不过,网上都说是什么时间戳不对,解决方法都无用,最后只能靠恢复密钥才登上去,得重新设置一下两步验证
|
 |
42
HankAviator 1 天前
@RavelloH passkey 挺好的想法,但是用起来很不方便。windows 上明明已经保存了,过一段时间就用不了了。手机上国产的支持也很差,哎
|
 |
43
mykaii 1 天前
npm 推这个,导致我包都发不了,
|
 |
44
ingxhe 1 天前 4
@hentailolicon 你看,又情绪化,因为谷歌做出了 bug ,所以 2FA 技术就是不好
|
 |
45
SakuraYuki 1 天前
支持普及 passkey ,打倒 2fa
|
 |
46
AoEiuV020JP 1 天前
似乎都是国外的有强制 2fa , 国内强制绑定手机的应该不存在强制 2fa 验证码的,这两个的确有替代性,强制短信码比 2fa 严格多了,
|
 |
47
07ly 1 天前 1
我就说一个,现在那么多国内服务都需要绑定手机号,如果有一天号码不用了,但是服务没解绑手机号,就知道会有多大风险了。不要觉得有一证通查可以批量解绑,那只是绑定服务的九牛一毛罢了
|
 |
48
RanKaede 1 天前
Microsoft Authenticator 以为是云同步的,重装登陆后什么都没有,还好其他地方有备份
|
 |
49
dfdd1811 1 天前
我妈秘钥导入到密码管理软件里我就不觉得 2fa 有什么问题,同时我的密码即使泄露还能有一层保障。我烦的是工作中的同事,公共账号不存密码,妈的自己导到阿里 app 里然后再用阿里云的 app 导出秘钥,导致我就必须得用阿里云 app 才能看安全码。密码管理软件能直接填写,变成我必须手写就算了,还得开阿里云 app
|
 |
50
Kirkcong 1 天前
如果 2mfa 是 totp 验证,那你可以把 token 备份或分享给其他朋友,这样当你需要共享某个账号的时候,你的朋友就不需要问你要邮箱码或者手机验证码了。并且 totp 是通用标准,你朋友可以添加他到任意支持该协议的 client 上,包括但不限于 cli,web 端密码填充器,手机端验证器。
相比于邮件和短信,要么朋友需要依赖你获取验证码,要么你的邮箱让你朋友登陆泄露隐私,totp 真的是当今时代的一个伟大发明。 |
|
51
Kirkcong 1 天前
@Tiberisino 我的 steam 就是因为只用输入密码被盗了,上面的游戏价值几千
|
 |
52
zmcity 1 天前
2FA 又不是只有验证码一种方式,你可以用 passkey 的,不支持 passkey 的设备买个 yubikey 也可以用。
|
 |
53
c3de3f21 1 天前
你们在讨论我冲 60QB 送一张密保卡的这个密保卡的问题吗?
|
 |
54
dandeli0n 1 天前
2fa 其实就和密码一样,甚至都称不上验证码,不知道为啥一大堆平台还强制用
|
 |
55
qwertyiuop 1 天前
短信的过程已经保暴露你的手机号了,2fa 解决了这一点,passkey 更舒服。
|
 |
56
Greenm 1 天前 2
《这东西怎么看都不可能比短信安全》
感觉你不了解 2FA 这东西的原理,也不懂安全,你只是单纯的嫌 TOTP 麻烦。 |
 |
57
abolast 1 天前
totp 只是一串密钥,算法是在维基百科上是公开的,想用什么 app 都行,你甚至可以自己写然后集成到你所用的工具里面去。
然后备份也简单,拿张纸写下密钥即可,存好 |
 |
58
rb6221 1 天前
2FA 又不只是手机验证器这种。
邮箱验证码也算啊 |
 |
59
WuDiHaiTai 1 天前
@Kirkcong #51 当年 PUBG 黑号最邪乎的那段时间,steam 就算你开了令牌也一样盗,在网吧,你的账号里有 PUBG ,登陆 steam 被盗是 100%的事,没被盗只是对方觉得你这号没 PUBG 没饰品没什么价值。
原理大概是直接拷贝走了 steam 的登陆 cookie 之类的文件,买家上号也不是用账号密码登陆,而是用文件替换。那段时间我 steam 都不绑令牌了,反正绑了也被盗,不绑令牌不去网吧登陆啥事没有。 |
 |
60
psllll 1 天前
这个插件可以直接在浏览器上用 2fa ,不需要掏出手机
https://github.com/Authenticator-Extension/Authenticator |
 |
62
minami 1 天前
依赖厂商云服务的东西都是垃圾,别用就行了,不仅包括 2fa ,其他也一样
|
 |
63
dode 1 天前
google authenticator 需要非常的谨慎,我现在有两个手机同时存储提供服务
|
|
64
dode 1 天前
最重要的主账户,你还可以打印保存为文件,存在 PC 设备或者硬盘上面
|
 |
65
bli22ard 1 天前 5
比短信安全,op 是不懂安全啊。我捡到了你的手机,把你的卡插入一台别的手机 直接获取验证码,虽说 sim 卡有个 pin 码,但是多少人会设置呢
|
|
66
Kirkcong 1 天前
@WuDiHaiTai 不能说防弹衣有时候挡不住子弹就不穿了。。这个只是防不住你说的场景,但对于网易邮箱当年被拖库还是有用的。
|
 |
67
salmon5 1 天前
"启用了 TOTP ,输入密码后,还要再输入一遍 TOTP ,太麻烦了,所以它是时代倒退的产物"
|
 |
68
wclebb 1 天前 4
我总觉得你说的逻辑根本不对。
1. 钥匙,也就是长这个🔑的形状,放在今天,仍然有一大堆银行、学校等公共场所都在用钥匙,而不是用 NFC 或其它更安全的开锁工具,这不也是所谓的「时代倒退的产物」吗?连开锁师傅随便通几下就能开锁了,这根本不安全,但仍然是目前主流的锁。 2. 极端一点的说,QWERTY 键盘也是上世纪时代的产物。 3. 各种安全协议仍然在用,例如 RSA 等。 我的意思是,任何能流传千古的工具都有必然的存在理由。 你提的 2FA ,如果没有更好的替代品,至少比原来的 2FA 有绝对安全,可离线、可掌握的情况下保障安全,如果有,肯定会替代。 你提的短信验证,本质上讲也是 2FA 的一种,只不过短信验证是相对于 2FA 而言; 短信验证不够安全,可劫持(过去只要暴露在 2G 网络,就能做到睡梦中,短信验证被盗并用于转移资金财产,这一点过去新闻已经够多了,你可以自行查阅。 短信验证并不能绝对安全,它仍然可以暴露在任何运营商传输过程中被劫持。毕竟它并没有所谓的类似 HTTPS 或 端到端加密,你如何保证它的验证「绝对安全」? 2FA 可以,在你软件里就能显示,但短信不能。 2FA 只要打开相应软件(例如 1Password 、或任何支持 2FA 密码软件),就能显示。 短信有可能因为多种原因,例如目前普遍因诈骗或境外短信验证,就可能进不来,例如 WhatsApp 。你光是解决这块足够折腾,而 2FA 足够简单,它不经过任何中间人攻击或中间网络来传输。 短信验证必须绑定手机号才能验证。 而 2FA 不需要任何形式的绑定,哪怕你只需要一个密码软件就能显示 2FA 验证。 而你只需保留二维码或一串数字。 手机号必须缴纳话费才能维持,尽管本来是需求。 当然也有更安全的,例如通用密钥,但是本质上讲它也属于 1Password ,而不是手机号。 |
 |
69
RyougiShiki 1 天前
目前 密码+生物识别(faceid) 或是 生物识别跟密码绑定( passkey )体验最好,如果后面能把密码干掉,直接用生物信息注册就更好了。
|
 |
70
mmdsun 1 天前
现在网站你只需要支持 谷歌、微软、苹果登录的就可以了。直接刷 FaceID 或者 Windows Hello 面容、指纹。
自己靠个 2FA 确实很麻烦。  |
 |
72
CharonVIII 1 天前
@hentailolicon 所以需要把 2FA 的信息做好本地备份,比如备份为 json
|
|
73
WuDiHaiTai 1 天前
@Kirkcong #66 当时不是“防弹衣'有时候'挡不住子弹”的问题,是此防弹衣必然挡不住子弹🐶,网吧的攻击力太强了。防止网易脱裤这种你说的确实有道理,直至今日,我都不敢再用网易邮箱。
不过当时网易的安全防护也是一坨大的,曾经 steam 绑定过网易邮箱,也被盗过,网易邮箱的密码形同虚设,当盗号团队对绑定的网易邮箱下手的时候,同样也是什么令牌都防不住的,唉。 |
 |
74
evplus 1 天前
只能说你资产不够多。资产多或者掌握重要资源的加上有足够安全意识的人会避开没有 2FA 的服务。你想想站长的 email 有没有开 2FA
|
 |
75
feller 1 天前 via iPhone
那你又不说哪个更安全
|
 |
76
dzdh 1 天前
> 印象里二十年前银行卡开通网上支付会送一个类似 2FA 的机器, 会隔几秒换一组数字作为验证码
这个除了是跟支付有关,还和限额有关,现在是统一收到非柜交易限额,但是有些银行的限额还是跟这个有关系的。最开始的时候农行 U 盾是无限额的,短信和收银银行一天就几万块钱。 |
 |
77
Leeeeex PRO 其实银行 u 盾并没有淘汰,现在公司财务还在用这玩意呢
适合自己的就是最好的,如果你用国外服务但是还想像国内一样都用短信验证码的话,就会碰到因为各种各样的原因接不到验证码,那这时候你又怎么办呢? 2FA 丢了网站有恢复方式,不管是邮件验证还是怎么样,至少你有可解决问题的方案。但是你在国内接不到验证码怎么办呢?你联系运营商就告诉你没有问题,短信接受都是正常的,但是你就是收不到。 2FA 现在为了防止丢失就登录不进去基本上都会提供一次性验证码辅助解决这个问题。 |
 |
78
Felix2Yu 1 天前
最傻的不是密保问题吗。你的大学/中学是什么,父母生日
|
 |
79
poorcai 1 天前
借楼问一下,好多 2FA 丢失(或者说换手机)后,就无法登录了,这个怎么解决?
我之前在安卓手机上使用微软的 Authenticator ,现在换到 iOS 了,导致里面存的 Paypal 的验证码没法同步过来,另外 Paypal 是美区的,不敢随便登录重新输入 2FA 验证码,导致我现在安卓手机上都不敢卸载 App 。 |
 |
80
yiranw09 1 天前 1
短信验证不是更不安全?就说你用的 google authenticator ,人家至少得捡到你的手机并解锁打开这个 app 才能知道你的密码吧?短信做 GSM 劫持都不需要碰到你的设备,在你附近开两小车,你找都找不到的情况下都能把你验证码获取了。
感觉不如 passkey ,建议加大推广 passkey 力度 |
 |
81
marktrains 1 天前
看标题还以为会有什么高论,结果点进来看到说不如短信验证码的时候绷不住了
|
 |
82
adoal 1 天前
OP 想说的是 OTP 吧
|
 |
83
FengMubai 1 天前 via Android
如果你没开 sim 卡锁定的话(我开了),尽管我不知道你的手机密码,但我把你的卡装到我的手机上,就可以看短信验证码了
|
 |
84
zsh2517 1 天前 1
@poorcai 一般软件有 2FA 的情况下,可以解绑其他 2FA ?
建议换掉 MS Auth ,这玩意设备间同步有点坑 https://www.google.com/search?q=site%3Av2ex.com+authenticator |
 |
86
5up3r 1 天前
短信验证才是不安全的。现在虽然没有 2G 时代的劫持了,许多人手机 sim 卡不设置 pin 码,如果手机丢失没有及时挂失使用短信验证的各种账户都可能被盗。
|
 |
87
Greendays 1 天前
只有中国国内业务的话,发短信是很简单了,基本每个人都有电话卡,也都是实名且安全的,信号也基本良好,是可靠的验证途径。但如果是国际业务的话,发短信没这么容易,需要对接的运营商太多了,而且也不可靠。
|
 |
88
Tink PRO 哪种 2FA ,Passkey 也是一种 2FA ,这个可真是太方便了,从来不用输入用户名密码之类的东西
|
|
89
Tink PRO 如果是 OTP ,那本质上和短信是完全一样的东西,只是介质不同了
|
 |
90
leefor2020 1 天前 via iPhone
短信比软件 OTP 更不安全,等于强制实名给厂商了
|
|
91
Kirkcong 1 天前
@WuDiHaiTai #73 最早我用的是 126 邮箱,后来转到了 outlook ,那年被拖库时我已经转微软好多年了。后来有天想起来这个邮箱,登上去看了眼,号还在,没给我注销了,但是里面被人绑定了定时发送广告的服务,好在频率不高才能或到现在吧。
其实拖库可以理解,不理解的是网易竟然明文存放密码到数据库,哈希/加密一个没用啊。 |
 |
92
dolphintwo 1 天前
首先吧,短信也是 2FA ,邮件也是 2FA ,我感觉你说的 2FA 特指 OTP
|
 |
93
Astrian 1 天前
如果非要杠的话,在用户生成强密码,服务端严格按照流程哈希密码,以及整个传输链路保证传输不被监听的情况下,第二个验证手段加不加对整体安全性没有什么差异。但是你知道的,这整个流程真的能完全符合理想情况那太做梦了。而且撞上钓鱼诈骗什么的把密码给了你也炸了。
2FA 就是在密码之上新增一个保护层,通过动态生成的数码来再确认一次身份。这基于一个很老的理论,鉴权的三剑客,用你知道的信息鉴权(密码),用你有的东西鉴权(大门钥匙,2FA 码),用你的生物信息鉴权(指纹锁),2FA 需要三者之中至少两个东西才能确保可信。 如果说为什么非要逼着别人上 2FA ,因为人脑对「生成密码」这个事情实在是太不擅长了,加上密码管理器并不如大多数人想象那么普及。上 2FA 的话,万一密码炸了好歹还有第二因素帮你兜着。 至于说短信和 2FA code 二者的安全性差异,理论上应该是 2FA code 更安全,因为鉴权用的种子并不直接在互联网上传输( 2FA code 假定认为只有账户所有人知道种子和生成 code ),可以完全离线完成;而短信不仅安全性存疑(如果验证码在传输链路被监听,即使是 5G 环境下也有太多类似 SS7 被攻击的例子了),需要等待几秒钟和离线(国际漫游)环境下无法收码也导致它的体验并不如人。 (顺便给我之前做的基于浏览器的 2FA 工具打个广告: https://github.com/astrian/dualcodes ) |
|
94
Astrian 1 天前
@dolphintwo 如果邮件验证码和忘记密码都通过同一个邮件地址/邮箱账户完成的话,那么它不属于第二个因素( 2FA 中的 factor ),只能算 2-step verification
|
 |
95
yeh 1 天前 1
短信 2fa 才是真 2b
app 2fa / 硬件 2fa 挺好的,有 passkey 就更好了。 至于吹捧的线上支付,那是因为现在是支付宝银行 app ,换手机/or 第一次登陆时候,验证的可比 2fa 多多了,什么人脸,什么短信验证。验证完了和硬件捆绑,才降低了后续小额验证,这才做到的。大额时候,不是人脸就是要短信验证码,也是 2fa 的一种。 想做到这个难度是没有,就是隐私那关估计过不去。 |
 |
96
Cipher0 1 天前 1
说实话不知道你到底懂不懂安全,但是短信本身可能被泄漏的渠道可太多了,运营商可能泄漏,短信网关有泄漏的风险,本身生成短信验证码的应用可能会泄漏,更不要说中间其他的链路了。
|
 |
98
tyqing 1 天前
is that you?
 |
 |
99
chenx212 1 天前
我对 2FA 没什么反感,但是 V2EX 的 2FA 每次在 ios 上都报错确实受不了,PC 没问题。
|
 |
100
jiayouzl 1 天前
我对 2FA 没什么反感,apple 全家桶绑定苹果官方自带的密码 app 还是很方便。
|
Select Language