1
FrankAdler 172 天前
因为都用手机了,觉得足够了吧
|
2
wevsty 172 天前 2
1 、国内的网站强制必须认证手机号,有了手机号做 SMS 认证在搞一个 TOTP 没有必要性。
2 、大部分用户并不了解也不会使用 TOTP 。 3 、费劲巴拉支持 TOTP 也拿不到什么好处。 |
3
totoro625 172 天前 3
短信验证码和人脸取代了
东西方文化差异的原因,东方没有隐私的感念,也没有不安全的概念 |
4
JensenQian 172 天前 3
国内都用手机号
还有不要接受国内用户的下限 totp 还要下个 app ,还要扫码,万一手机丢了,坏了,你就知道了 手机号补个就行了啊 |
5
kitazawa 172 天前
1 、懒,需要额外技术去实现
2 、国内老头子也知道短信怎么用,大伙也没有 totp 的习惯,为什么要花时间精力去做呢? 3 、算半个实名了,况且对国内这些软件短信验证够安全了,不需要再搞个 totp 了 4 、我们国家这个生态,短信验证已经太成熟了,各平台服务都紧密集成,就没有 totp 的生态。你让一个 pc 安卓用了十几年的人去用苹果,大伙也用不惯啊(不知道这比喻对不对,反正就那意思) |
6
datou 172 天前
网易将军令就是魔改的 TOTP
|
7
gaobh 172 天前
请问国内有哪家服务商做了 TOTP 管理器,没有让用户用啥,国外的?
|
8
lifansama 172 天前 via Android
@gaobh 百度云:为确保本人操作,请输入您的从 Google Authenticator 应用程序中获取 6 位 MFA 验证码。😂
腾讯云助手小程序里有个虚拟 MFA |
11
fydss 172 天前
国内我目前有用到就 163 邮箱,没想到吧,他支持 TOTP
|
12
lcy630409 172 天前
有的 比如阿里云这种类型的 会把 MFA 当做一个和手机号同级的安全验证,级别还比较高,但是这需要用户了解这个,所以还是特定站点用的多 需要较高安全性的那种
|
13
yjxjn 172 天前 1
国内云服务支持(阿里云,腾讯云,百度云等等)
V2EX 支持 163 邮箱支持 —————— 这是我目前发现的,欢迎补充。 |
14
LaoDahVong 172 天前
国外 TOTP 也没有很流行啊. 我的两个银行也都是手机号短信验证. 除了 Steam 和 Github, 暂时想不出自己用的哪个服务推广 TOTP 了.
|
15
kenniewwwww 171 天前
@LaoDahVong 几乎全有好吧,discord, twitch, CF, 亚麻,任意学校公司账户
|
17
GeekGao 171 天前
FaceID 呀 ,银行类 APP 都普及这种方式了( FIDO )。
|
18
JKOR 171 天前 via Android
学习成本太高,不说老年人,多少年轻人都整不明白。咱们可能认为 TOTP 保护隐私,无需网络,但对于很多人来说就是不如短信验证好用,TOTP 不备份还容易丢。
|
19
bao3 171 天前 1
因为国内的 PM 蠢人,以为手机加短信就可以验证了,他们以为一个人从初中到死,是不会换手机号的,所以手机号加短信是可信认证。
其结果就是,当一个人的号码停用后,这个号码加短信的可信组合,下一个人可以继续用…… |
20
ltkun 171 天前 via Android
我说一个 智能门锁的开门随机密码 类似 totp
|
21
happyrespawnanch 171 天前
网易邮箱可以设置 totp,别的暂时没遇到过
|
22
chendy 171 天前 3
投入不小风险不小收益不大
程序员以为:我们的网站支持了标准的 TOTP 验证,非常标准 客户认为:什么**玩意,这玩意咋配啊,卧槽我之前配了咋找不着了,就不能给我发个手机验证码么 至于楼里提隐私的…我只能缓缓打出一个问号 |
23
xiamy1314 171 天前
短信验证更合适.
|
24
HaoranWei 171 天前
目前在用网易 163 邮箱的 TOTP
|
26
abersheeran 171 天前
技术要服从需求,国内没有 TOTP 的需求。因为手机号是都有的,额外增加一个 TOTP 纯浪费人力物力,还要教育客户使用。
|
27
mouyase 171 天前
QQ 是支持的,玩过腾讯网游的应该都知道手机令牌
|
28
sunnysab 171 天前
TOTP 的密钥掉了真找不回来,怎么办。
另外,主流云厂商都支持了,偏向技术用户的用 TOTP 可能更多。 |
29
chf007 171 天前
你的国内网站是指啥,我所了解到的,大部分都是支持 TOTP 的,只不过很多不是强制的
|
30
iLtc 171 天前
说到 TOTP ,国外现在又掀起了 Passkey ,感觉国内短时间内不会跟上
|
31
rabt 171 天前
因为短信也属于 2fa ,和 TOTP 算是一种东西,短信也符合国情
|
32
veightz 171 天前 via Android
门槛高。totp 前司重度使用过,老是说这个东西有使用门槛,不会用的用户还挺多的。可能 v2 上的老哥觉得这玩意儿根本没啥门槛,但实际上很多用户根本不会用。
验证码软件也良莠不齐。之前某大厂的验证器有兼容问题,升级 iOS 后直接打开会丢数据。 各平台间兼容性一般。多用几个带 totp 的平台,会发现,有些平台直接会覆盖你的另一个现有密钥。丢了麻烦不小。 |
33
CharmingCheung 171 天前 1
将军令也是一种 TOTP
|
34
Huelse 171 天前
提出这个问题说明不是做产品的,另外国外服务更依赖邮箱验证,很多用户不知道 TOTP 是什么。
|
35
privater 171 天前 via iPhone
美国现在其实也不是都支持 2FA 、尤其是银行最近 10 年几乎都改成对短信强依赖了。
|
36
majula 171 天前
TOTP 只是 2FA 的一种手段,对于国内一般用户来说,便利性往往不如手机短信
我们可能算是国内公司的另类吧,毕竟自诩的是数据安全,目标用户也往往是有技术背景的。在我们网站注册的账号,绑定手机号仅作为满足监管要求的手段,不用于用户认证。密码作为主要凭证,用 WebAuthn 做 2FA 。然后每个账号可以绑定一个 GPG key ,重置密码之类的操作需要用这个 key 签名一个请求。如果 GPG key 丢了,你就算拿着身份证到我们公司前台,也不会给你找回账号。 |
37
c3c8c0 171 天前
qq 安全中心
|
38
Huelse 171 天前
还有 TOTP 有相对较高的丢失率,找回难度大,这也导致使用门槛较高,相比较下手机号和邮箱更易找回。
|
39
arischow 171 天前
因为产品没想过出海
|
40
nothingistrue 171 天前 1
你要搞明白了这个问题,那你现在的问题自然就懂了:STEAM 为啥要在公版 TOTP 以外,去搞一个要额外绑定手机号的专用 TOTP 。
|
41
albert0yyyy 171 天前
反思
|
42
karott7 171 天前
手机验证码和 totp 不差不多么?再加上国内也有扫码登录,人脸验证,差不多了。
国外用 totp 是因为手机短信费用贵吧 |
43
bitxeno 171 天前 via Android
现在 TOTP 对普通用户门槛高体验很一般,除非以后手机系统直接集成了
|
44
docx 171 天前 via iPhone
主要是用户习惯,不过个别网站还是支持的,比如网易邮箱,然后就是和程序员打交道的云服务网站基本都支持(进一步证明了用户群体的原因)
|
45
litblue 171 天前
国内实名制,手机绑定是几乎是强制的,可以替代 TOTP ,且更易用。
TOTP 的用户理解成本高。 手机号码有可能更换,但现在可以携号转网,也没有漫游费之类的问题,更换频率已经很低了。TOTP 因为手机更换、程序不小心卸载等原因丢失的概率更高。 |
46
realpg 171 天前
国内版本领先更多...
未来国外的非企业应用, 更多会逐渐转向短信验证, 但是已经支持的 TOTP 不会移除 |
47
realpg 171 天前
@docx #44
云服务网站倒不是因为跟程序员打交道更多什么的 他们基本也是主要短信的 MFA 是跟短信同等级别是因为 这些网站的操作者大概率要操作很多个账号 全绑一个手机 很大程度上就没啥用的 科技公司的各种客户, 一个客户一个阿里云 一堆域名分布在不同的客户账号 这些人才是云服务的 MFA 验证器的最大用户源 |
48
fionasit007 171 天前
一般网游都有这种令牌软件
|
49
tunggt 171 天前
就像楼上说的,国内有强制实名制。
本来短信验证码就已经是两步验证了,所以 TOTP 用处就没这么大了。 另外国内你懂得,各家玩各家的,当年 openid 都没搞起来,凭什么 TOTP 就能起来? |
50
woodwhales 171 天前
我前阵子对自己的开源 web 项目( https://github.com/woodwhales/woodwhales-music )增加 2FA 认证功能,也想过这个问题,本打算参考了一下阿里云、腾讯云,结果都没有 2FA ,于是参考了 github 、cloudflare
腾讯云账号密码登录之后,需要小程序扫码再次确认,阿里云同理。其他云服务差不多同理。重点是,这些小程序一般都已经实名认证了,有现成直接用就行了 总结来说,个人觉得: 1 、用户习惯问题,国内用户已经培养成,手机验证码认证。而国外一般老外不喜欢随意暴露更多个人信息 2 、服务成本,虽然 2FA 认证成本更低,但仅仅是对服务开发者,对用户来说丢了恢复码成本太高了。小厂商没有这个 2FA 意识,大厂商觉得我都有用户的人脸、身份信息,有现成的小程序干嘛多加成本开发 2FA 呢,用户万一账号丢失或者盗窃了,活体认证就立马恢复了,用户体验好 |
51
tyzrj766 171 天前 1
我觉得就 2FA 那个恢复码备份就得难道大部分普通用户,很多圈内用的人都难保某一天忘记或者丢失,让普通用户搞这个更麻烦了。短信、人脸这些就方便一些,都在手机上一扫就完事。
倒是小时候 QQ 被盗过一次,后来就下血本买了一张密保卡,实体版 2FA🤣 |
52
november 171 天前
@nothingistrue 求指教,我也不明白为什么 steam 不用通用 totp ,而要弄它的 app 。我现在登录总是要去邮箱找验证码,老麻烦了。
|
53
lovelylain 171 天前
@tyzrj766 然而现在密保卡已经作废,完全依赖手机号了吧?我以前有给 QQ 设置过密保,现在完全找不到使用当时密保信息的地方,只有手机号验证,有的地方还只能主动发短信,例如我刚才想用第三方客户端收 qq 邮件,告诉我得用授权码,去获取授权码得发短信验手机号,没有其他验证方式。
|
54
nothingistrue 171 天前
|
55
dingwen07 171 天前 via Android
国内的手机号安全,国外以前换卡攻击十分泛滥所以 SMS OTP 并不被认为是安全的 2FA 手段
|
56
zx900930 170 天前
奇安信 edr 也支持 totp 登录
|
57
flyqie 170 天前 via Android
那么这就有个问题了。
为什么国内的网站需要支持 TOTP 验证? 你觉得对普通 C 端用户有什么优势吗? |
58
baobao1270 170 天前
主要是没有动力去做,加上用户需求不大吧。
面向企业的,比如阿里云、腾讯云、百度云,都是支持的。 现在阿里云和腾讯云也支持 passkey 了,需要子用户(根用户不支持)。 |
59
liduoduo 170 天前
@JensenQian 这个...不考虑墙啊 google authenticator 不都支持云备份了?
|
60
JensenQian 170 天前 via Android
@liduoduo 左上角搜下这两的备份都多少人丢失过了
|