双因素认证（2FA, two-factor authentication）在国内似乎不流行？

我不太理解，短信验证码难道不是双因素的一种吗？

短信，邮件接受验证码都可以算双因素验证，只不过国内现在连输密码这个步骤都跳过了，可能是因为国内手机号都是实名的？

另外国内游戏用双验证挺早的，以前用那种物理的密保卡，现在各种令牌之类的都算双验证。

@cairnechen 其实我对 2FA 的概念也不是太了解。目前我接触到国外的 2FA 都是下载身份认证器 APP 扫码绑定，然后每次可以进去刷新获取一个动态码的方式

银行的电子密码器这种物理固件好像

@manami 这不就是 10 几年前流行的将军令吗

@manami #3 就像以前的 QQ 动态令牌

国内手机号都快成惟一的账号 id 了，靠邮箱来 2fa 肯定不行。离线的 totp 和 hotp 没 App 搞，我猜想产品他们肯定又要说什么国内用户水平不高之类的话，然而我寻思其他国家也不是人均懂王。

QQ 安全中心令牌，银行电子验证器，应该也算是吧？

现在主要是手机都实名制了 所以用手机验证了

短信安全吗，手机丢了，卡丢了，不危险吗。手机放家里了，无法登录，不折腾吗

@manami 手机短信验证码 也是动态码 一个意思。

了解一下畅游旗下的各种游戏，就是你说的两步验证。

2FA 身份验证好像可以离线的，现在用的 Authy 都是可以离线获取动态码，有没有专业人士解答下

@manami #13
https://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html
所以为什么要求时间跟服务器要求 30 秒误差内

@manami #13 正好我们前两天刚实现了一个
因为 TOTP 算法是定好的，我们服务端生成好一个密钥，做成二维码给用户扫，扫完了手机端按照相同的算法就生成了那 6 位数字，不需要联网

@manami Authy 那是 Time-based One-time Password (TOTP)，是通过一个密钥加上当前时间算出来的，密钥是存在本地的，所以可以离线使用。

在公司维护了一个对内的 totp 服务，软件也是内部用的软件对接 sso 自动开通令牌。国内不普遍我觉得重要的原因是手机人人都有，用短信能减少用户学习成本。

用 keepass 就能很好代替各种 2fa 客户端,暴雪的啊 steam 的啊都能装一起

负责过用户系统，也调研 过 2FA/MFA(多因素)。
海外用户多的主要的原因在于，账户习惯使用邮箱。从而在安全性上更加需要二次验证。（如 Gihub 、Gmail 、Reddit ）
国内由于手机号（并且近些年的实名），本身短信验证码就是 2FA 的一种实现方案。

------------------------

题外话，从安全性来说，手机短信的安全性 > TOTP 离线动态码（简称令牌）。
业界通用的方案是绑定令牌前，需要绑定手机号。
也可以通过手机验证码解绑令牌。

------------------------

为什么要求时间跟服务器要求 30 秒误差内？
这个只是 Google 提供的算法默认配置而已，算法本身可以简单理解为 hash (密钥 + current_time() / 30) 得到的值。
所以大于 > 30 秒，客户端 和 服务端 计算出来的 hash 值就不一致了。

------------------------

误差大于 30 秒的解决方案？
server 的校验客户端计算出的 hash 值时，可以配置允许的误差，如前后加 N 个时间片（ current_time() / 30 ）。
举例：如果允许前后加 1 个时间片，服务端几计算的动态值为 CH 。
那么 server 会校验 3 次。
CH == hash (密钥 + current_time() / 30)
|| CH ==hash (密钥 + (current_time() / 30) - 1)
|| CH == hash (密钥 + (current_time() / 30) + 1)

匹配成功一次即为验证成功。

微软自家的 Authenticator，连密码都不用输就登录了。既然都需要打开 app 了，感觉扫码登录更快。

tob 的很多, 为了安全可以牺牲便捷性

比如登录公司内网

@ired
举例：如果允许前后加 1 个时间片，服务端几计算的动态值为 CH 。
-------------笔误--------------
举例：如果允许前后加 1 个时间片，客户端计算的动态值为 CH 。

@dnsdk 微软是我用过的登录方式选择最多、体验最好的，YubiKey 一插，莫说密码，连用户名都不用输入

@manami 据我所知国内大厂（就是那两家大厂）的习惯是，2FA 可以有，除了短信外 TOTP 可以有，但是一定要自己搞一套，坚决不支持公开通用的洋人的 App.
比如说腾讯云，它也支持 6 位数验证码，但是必须用那个腾讯云助手微信小程序绑定，不给你使用 Google Authenticator 等通用 App 的机会。

当然可能有例外，如有请指正。

国内现在啥都是短信，很多网站密码都是废的，你换了设备必须手机验证

现在运营商搞了一个一键登录的功能，类似短信验证码，但是把收发验证码的过程省了，运营商在用户同意之后直接提供手机号给 App 厂商，确保是准确的。

有安全意识的人不多，这部分人又觉得大多数 App 都没必要做到特别安全，剩下的密码加短信也就够了，海外一般是密码加动态口令，这个是不同的用户习惯导致的。

国内等保会对企业内系统要求使用双因素认证，但不要求具体形式，只要求使用现代密码技术。

我是不想花钱买设备。
就算有设备，我只想买一个设备所有的网站都可以使用
但是问题是，这是块大蛋糕，除非是能垄断，不然谁碰谁死

国内都是短信了。 国外当年应该是由于短信属于个人隐私，用户不太愿意填，大部分是 email，或者类似 Google Authenticator 之类的 app 。 华为手机禁了 google service 之后，Google Authenticator 也用不了了，就很难受了。

你说的这个设备,它免费吗?

@linksNoFound 是免费的

@337799 #27 我记得谷歌是离线版，不需要联网也可以用啊，也不需要谷歌构架。

其实我想给 OpenWRT 也加个 TOTP，但不知道怎么弄。

玩过网游没 古剑奇谭网络版 剑网 3，都是你说的这种，既可以离线也可以在线。叫安全令牌。魔兽应该也有。

因为国内大部分你见到的账号系统没有这么高的安全需求

@essethon 阿里云支持通用的 TOTP 软件

@xingyuc 这就属于抬杠了，毕竟任何都可以泄露。

你的标题幸亏是问号结尾的，不然就是错的。

请不要使用手机短信作为 2FA 验证手段，因为及其不安全，难道大家忘了之前那个因为手机被盗而一夜间被开通各种网贷的事了么。

接楼上，补上链接：<一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链> https://www.freebuf.com/articles/network/249294.html

国内“安全”的核心是实名+可管可控。楼主可以关注一下各种国内安全大会的讲演。每次“可管可控”都是第一位的。至于用户端安全，不是核心内容。因为造成了经济损失可以通过打官司解决，而做的完全可管可控之后，也很方便给法院提供证据。
去年开始，有的安全厂家开始推广“诱导安全”策略，就是不再堵截账号入侵，而做好日志及追踪系统。通过日志系统把人抓了就解决问题了

@miaoever 是的，而且手机已经不是双因素的因子了，它已经成为单因素登录。很多 app 都支持手机号一键登录。而双因素最主要的问题是，丢失任何一个 因素都不会导致被盗号，而且有至少 3 个因子存在（密码、2FA 密码、救援码），只要保证手里同时有 2 个因子，账号就不会丢。丢失任意一个，也不会导致账号被盗。而手机号不仅做不到上述几点，甚至还弱化了双因素的安全性。为了弥补这个缺失，所以很多厂商，采取了获取扫脸信息的其它因素来辅助验证，美其名曰更安全，实际上是抛弃了安全方案而选用了一个需要泄露生物信息的更复杂方案。

而双因素最主要的问题是->而双因素最主要的好处是

@toptyloo #34 感谢，查了一下文档确实。我最近都没有在用阿里云产品，不过印象中前两年我还在用阿里云的时候是不支持的，可能那时候还叫 MFA 。现在文档里有一句「多因素认证（ MFA ）已更名为 TOTP 。」

@crab 但是在中国手机丢了问题很严重啊，我以前丢了整个人都懵了，挨个给银行打电话冻结银行卡

@337799 #27 用 Gmail 注册了 Microsoft Authenticator

@xingyuc 你是不是没设置 sim 卡的 Pin 锁，理论上丢了补卡下就好啊。

@crab 理论上，知道手机号有很多办法得到身份证号，凭着身份证号可以去运营商的客服那里得到 pin 码

@hyshuang2006 用户只是消耗品而已，要考虑消耗品的感受吗？

国内一般的场景是不那么流行，有的直接手机号一键就登陆了。

支付时大部分还是密码 + 短信验证码的。。

真要是手机丢了，app 看 code 和 收短信好像区别也不大。。（手机还能挂失搞个临时停机？）

因为没有经过 web 的大规模洗礼。web 时代电子邮件才是底层的基础设施服务，每个人都必有一个电子邮件账户。而国内全民数字化是在移动互联网微信、抖音、快手崛起以后，手机成了底层的基础设施，每个人必有一个手机号，而此时的用户由于不再需要接触 web，电子邮件服务根本不再是必需品，这一阶段的用户由于知识水平问题也不会 web 、电子邮件那一套逻辑，再叠加 17 年的实名制，导致所有企业可以名正言顺的采取统一行动强制从账户体系从电子邮件切换到手机号，而不必担心反弹。在那之后的公司很多更进一步完全舍弃电子邮件甚至舍弃密码，强制要求验证码登录。这一现象再注重数据的公司和盛行广告推销的企业尤其严重。

@cairnechen 短信风险极高

@systemcall 解锁拿 puk 码或补卡要本人和身份证，如果在异地还需要服务密码。

@systemcall pin 更改后运营商那边应该是没有的，需要 puk 解锁掉 pin 。这个就要看营业厅是否违规操作了。

其实手机验证码也算是 2fa 吧，和那些 app 验证有什么本质上的区别吗？手机丢了被解锁了，一样不是打开 app 看。

楼主对 MFA/2FA 的理解太狭隘了。。。
一般说到认证首先是账号+密码，除此之外，场所（比如信任的网络环境）、密保问题、图片、短信、验证器以及一些物理验证（卡、密钥等）等都算是多因子验证的方式。

@ired #18 短信的安全性是低于 OTP 的，除非 2G 网完全关闭

激活 OTP 前验证手机是因为单验证密码的安全性低于密码+手机的组合，而不是因为手机比 OTP 安全

@hshpy #52
只要是线上办理的话，就有些办法。有人脸照片甚至录像，过活体检测没那么难。我去过一些网吧，那边的活体检测就有办法弄过去。而且活体检测所采集的视频，又怎么防止再泄漏呢？
另外，如果是 2G 没有关的地区，降到 2G，有办法弄下来短信
服务密码好像可以用身份证号重置。人脸+身份证，并不算难弄到。比起买那些东西花的钱，可能得到的利益多得多

国内只要你手机号

微信 pc 登陆要拿手机 就很烦

@hshpy 去年 9 月，北京移动，自己不小心锁了 sim 卡，让别人帮我打电话，没有本人就要来了 puk 码。

@yuhuike 还有像微博这种流氓网站，密码从来没记住过
隔段时间就喊着改密码，改的时候之前用过的还不能用，