为什么国内的网站几乎都不支持 TOTP 验证?

totp

验证

网站

60 条回复 2024-05-28 15:26:48 +08:00

1

FrankAdler

2024-05-26 16:58:35 +08:00

因为都用手机了，觉得足够了吧

2

wevsty

2024-05-26 16:59:37 +08:00

2

1 、国内的网站强制必须认证手机号，有了手机号做 SMS 认证在搞一个 TOTP 没有必要性。
2 、大部分用户并不了解也不会使用 TOTP 。
3 、费劲巴拉支持 TOTP 也拿不到什么好处。

3

totoro625

2024-05-26 17:00:11 +08:00

3

短信验证码和人脸取代了
东西方文化差异的原因，东方没有隐私的感念，也没有不安全的概念

4

JensenQian

2024-05-26 17:03:07 +08:00

3

国内都用手机号
还有不要接受国内用户的下限
totp 还要下个 app ，还要扫码，万一手机丢了，坏了，你就知了
手机号补个就行了啊

5

kitazawa

2024-05-26 17:05:19 +08:00

1 、懒，需要额外技术去实现
2 、国内老头子也知道短信怎么用，大伙也没有 totp 的习惯，为什么要花时间精力去做呢？
3 、算半个实名了，况且对国内这些软件短信验证够安全了，不需要再搞个 totp 了
4 、我们国家这个生态，短信验证已经太成熟了，各平台服务都紧密集成，就没有 totp 的生态。你让一个 pc 安卓用了十几年的人去用苹果，大伙也用不惯啊（不知道这比喻对不对，反正就那意思）

6

datou

2024-05-26 17:06:03 +08:00

网易将军令就是魔改的 TOTP

7

Solix

2024-05-26 17:16:57 +08:00

请问国内有哪家服务商做了 TOTP 管理器，没有让用户用啥，国外的？

8

lifansama

2024-05-26 17:24:15 +08:00 via Android

@gaobh 百度云：为确保本人操作，请输入您的从 Google Authenticator 应用程序中获取 6 位 MFA 验证码。
腾讯云助手小程序里有个虚拟 MFA

9

Solix

2024-05-26 17:34:28 +08:00 via iPhone

@lifansama 那都是不是给 c 端用户用的哈哈

10

Solix

2024-05-26 17:34:38 +08:00 via iPhone

@gaobh 那都不是

11

fydss

2024-05-26 17:45:32 +08:00

国内我目前有用到就 163 邮箱，没想到吧，他支持 TOTP

12

lcy630409

2024-05-26 17:58:23 +08:00

有的比如阿里云这种类型的会把 MFA 当做一个和手机号同级的安全验证，级别还比较高，但是这需要用户了解这个，所以还是特定站点用的多需要较高安全性的那种

13

yjxjn

2024-05-26 23:03:24 +08:00

1

国内云服务支持（阿里云，腾讯云，百度云等等）
V2EX 支持
163 邮箱支持

这是我目前发现的，欢迎补充。

14

LaoDahVong

2024-05-26 23:39:55 +08:00

国外 TOTP 也没有很流行啊. 我的两个银行也都是手机号短信验证. 除了 Steam 和 Github, 暂时想不出自己用的哪个服务推广 TOTP 了.

15

kenniewwwww

2024-05-27 00:28:44 +08:00

@LaoDahVong 几乎全有好吧，discord, twitch, CF, 亚麻，任意学校公司账户

16

ronman

2024-05-27 00:47:24 +08:00

@yjxjn V2EX 不能算国内网站吧哈哈

17

R4rvZ6agNVWr56V0

2024-05-27 01:12:38 +08:00

FaceID 呀，银行类 APP 都普及这种方式了（ FIDO ）。

18

JKOR

2024-05-27 01:37:13 +08:00 via Android

学习成本太高，不说老年人，多少年轻人都整不明白。咱们可能认为 TOTP 保护隐私，无需网络，但对于很多人来说就是不如短信验证好用，TOTP 不备份还容易丢。

19

bao3

2024-05-27 01:49:16 +08:00

1

因为国内的 PM 蠢人，以为手机加短信就可以验证了，他们以为一个人从初中到死，是不会换手机号的，所以手机号加短信是可信认证。
其结果就是，当一个人的号码停用后，这个号码加短信的可信组合，下一个人可以继续用……

20

ltkun

2024-05-27 07:13:47 +08:00 via Android

我说一个智能门锁的开门随机密码类似 totp

21

happyrespawnanch

2024-05-27 07:28:45 +08:00

网易邮箱可以设置 totp,别的暂时没遇到过

22

chendy

2024-05-27 08:20:14 +08:00

3

投入不小风险不小收益不大

程序员以为：我们的网站支持了标准的 TOTP 验证，非常标准
客户认为：什么**玩意，这玩意咋配啊，卧槽我之前配了咋找不着了，就不能给我发个手机验证码么

至于楼里提隐私的…我只能缓缓打出一个问号

23

xiamy1314

2024-05-27 08:29:13 +08:00

短信验证更合适.

24

HaoranWei

2024-05-27 08:43:14 +08:00

目前在用网易 163 邮箱的 TOTP

25

LieNoWell

2024-05-27 08:53:10 +08:00

@totoro625 #3
如果在非强制的情况下，大部分人依然短信或者人脸，那才可以说 “没有隐私的感念”

26

abersheeran

2024-05-27 09:16:56 +08:00

技术要服从需求，国内没有 TOTP 的需求。因为手机号是都有的，额外增加一个 TOTP 纯浪费人力物力，还要教育客户使用。

27

mouyase

2024-05-27 09:35:00 +08:00

QQ 是支持的，玩过腾讯网游的应该都知道手机令牌

28

sunnysab

2024-05-27 09:54:36 +08:00

TOTP 的密钥掉了真找不回来，怎么办。
另外，主流云厂商都支持了，偏向技术用户的用 TOTP 可能更多。

29

chf007

2024-05-27 10:11:15 +08:00

你的国内网站是指啥，我所了解到的，大部分都是支持 TOTP 的，只不过很多不是强制的

30

iLtc

2024-05-27 10:42:33 +08:00

说到 TOTP ，国外现在又掀起了 Passkey ，感觉国内短时间内不会跟上

31

rabt

2024-05-27 10:52:46 +08:00

因为短信也属于 2fa ，和 TOTP 算是一种东西，短信也符合国情

32

veightz

2024-05-27 11:16:35 +08:00 via Android

门槛高。totp 前司重度使用过，老是说这个东西有使用门槛，不会用的用户还挺多的。可能 v2 上的老哥觉得这玩意儿根本没啥门槛，但实际上很多用户根本不会用。
验证码软件也良莠不齐。之前某大厂的验证器有兼容问题，升级 iOS 后直接打开会丢数据。
各平台间兼容性一般。多用几个带 totp 的平台，会发现，有些平台直接会覆盖你的另一个现有密钥。丢了麻烦不小。

33

CharmingCheung

2024-05-27 11:19:18 +08:00

1

将军令也是一种 TOTP

34

Huelse

2024-05-27 11:21:47 +08:00

提出这个问题说明不是做产品的，另外国外服务更依赖邮箱验证，很用户不知道 TOTP 是什么。

35

privater

2024-05-27 11:22:58 +08:00 via iPhone

美国现在其实也不是都支持 2FA 、尤其是银行最近 10 年几乎都改成对短信强依赖了。

36

48y1951r9G8k7Zou

2024-05-27 11:45:15 +08:00

TOTP 只是 2FA 的一种手段，对于国内一般用户来说，便利性往往不如手机短信

我们可能算是国内公司的另类吧，毕竟自诩的是数据安全，目标用户也往往是有技术背景的。在我们网站注册的账号，绑定手机号仅作为满足监管要求的手段，不用于用户认证。密码作为主要凭证，用 WebAuthn 做 2FA 。然后每个账号可以绑定一个 GPG key ，重置密码之类的操作需要用这个 key 签名一个请求。如果 GPG key 丢了，你就算拿着身份证到我们公司前台，也不会给你找回账号。

37

c3c8c0

2024-05-27 11:50:08 +08:00

qq 安全中心

38

Huelse

2024-05-27 12:01:59 +08:00

还有 TOTP 有相对较高的丢失率，找回难度大，这也导致使用门槛较高，相比较下手机号和邮箱更易找回。

39

arischow

2024-05-27 12:14:08 +08:00

因为产品没想过出海

40

nothingistrue

2024-05-27 12:24:51 +08:00

1

你要搞明白了这个问题，那你现在的问题自然就懂了：STEAM 为啥要在公版 TOTP 以外，去搞一个要额外绑定手机号的专用 TOTP 。

41

albert0yyyy

2024-05-27 12:54:00 +08:00

反思

42

karott7

2024-05-27 12:57:37 +08:00

手机验证码和 totp 不差不多么？再加上国内也有扫码登录，人脸验证，差不多了。
国外用 totp 是因为手机短信费用贵吧

43

bitxeno

2024-05-27 13:14:42 +08:00 via Android

现在 TOTP 对普通用户门槛高体验很一般，除非以后手机系统直接集成了

44

docx

2024-05-27 13:19:58 +08:00 via iPhone

主要是用户习惯，不过个别网站还是支持的，比如网易邮箱，然后就是和程序员打交道的云服务网站基本都支持（进一步证明了用户群体的原因）

45

litblue

2024-05-27 14:30:16 +08:00

国内实名制，手机绑定是几乎是强制的，可以替代 TOTP ，且更易用。
TOTP 的用户理解成本高。
手机号码有可能更换，但现在可以携号转网，也没有漫游费之类的问题，更换频率已经很低了。TOTP 因为手机更换、程序不小心卸载等原因丢失的概率更高。

46

realpg

PRO

2024-05-27 16:03:23 +08:00

国内版本领先更多...

未来国外的非企业应用, 更多会逐渐转向短信验证, 但是已经支持的 TOTP 不会移除

47

realpg

PRO

2024-05-27 16:05:04 +08:00

@docx #44
云服务网站倒不是因为跟程序员打交道更多什么的
他们基本也是主要短信的
MFA 是跟短信同等级别是因为这些网站的操作者大概率要操作很多个账号全绑一个手机很大程度上就没啥用的
科技公司的各种客户, 一个客户一个阿里云
一堆域名分布在不同的客户账号
这些人才是云服务的 MFA 验证器的最大用户源

48

fionasit007

2024-05-27 16:43:44 +08:00

一般网游都有这种令牌软件

49

tunggt

2024-05-27 16:49:53 +08:00

就像楼上说的，国内有强制实名制。
本来短信验证码就已经是两步验证了，所以 TOTP 用处就没这么大了。

另外国内你懂得，各家玩各家的，当年 openid 都没搞起来，凭什么 TOTP 就能起来？

50

woodwhales

2024-05-27 17:07:47 +08:00

我前阵子对自己的开源 web 项目（ https://github.com/woodwhales/woodwhales-music ）增加 2FA 认证功能，也想过这个问题，本打算参考了一下阿里云、腾讯云，结果都没有 2FA ，于是参考了 github 、cloudflare

腾讯云账号密码登录之后，需要小程序扫码再次确认，阿里云同理。其他云服务差不多同理。重点是，这些小程序一般都已经实名认证了，有现成直接用就行了

总结来说，个人觉得：
1 、用户习惯问题，国内用户已经培养成，手机验证码认证。而国外一般老外不喜欢随意暴露更多个人信息
2 、服务成本，虽然 2FA 认证成本更低，但仅仅是对服务开发者，对用户来说丢了恢复码成本太高了。小厂商没有这个 2FA 意识，大厂商觉得我都有用户的人脸、身份信息，有现成的小程序干嘛多加成本开发 2FA 呢，用户万一账号丢失或者盗窃了，活体认证就立马恢复了，用户体验好