V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  程序员

为什么国内的网站几乎都不支持 TOTP 验证?

  •  1
     
  •   drymonfidelia · 165 天前 · 5951 次点击
    这是一个创建于 165 天前的主题,其中的信息可能已经有所发展或是发生改变。
    60 条回复    2024-05-28 15:26:48 +08:00
    FrankAdler
        1
    FrankAdler  
       165 天前
    因为都用手机了,觉得足够了吧
    wevsty
        2
    wevsty  
       164 天前   ❤️ 2
    1 、国内的网站强制必须认证手机号,有了手机号做 SMS 认证在搞一个 TOTP 没有必要性。
    2 、大部分用户并不了解也不会使用 TOTP 。
    3 、费劲巴拉支持 TOTP 也拿不到什么好处。
    totoro625
        3
    totoro625  
       164 天前   ❤️ 3
    短信验证码和人脸取代了
    东西方文化差异的原因,东方没有隐私的感念,也没有不安全的概念
    JensenQian
        4
    JensenQian  
       164 天前   ❤️ 3
    国内都用手机号
    还有不要接受国内用户的下限
    totp 还要下个 app ,还要扫码,万一手机丢了,坏了,你就知道了
    手机号补个就行了啊
    kitazawa
        5
    kitazawa  
       164 天前
    1 、懒,需要额外技术去实现
    2 、国内老头子也知道短信怎么用,大伙也没有 totp 的习惯,为什么要花时间精力去做呢?
    3 、算半个实名了,况且对国内这些软件短信验证够安全了,不需要再搞个 totp 了
    4 、我们国家这个生态,短信验证已经太成熟了,各平台服务都紧密集成,就没有 totp 的生态。你让一个 pc 安卓用了十几年的人去用苹果,大伙也用不惯啊(不知道这比喻对不对,反正就那意思)
    datou
        6
    datou  
       164 天前
    网易将军令就是魔改的 TOTP
    gaobh
        7
    gaobh  
       164 天前
    请问国内有哪家服务商做了 TOTP 管理器,没有让用户用啥,国外的?
    lifansama
        8
    lifansama  
       164 天前 via Android
    @gaobh 百度云:为确保本人操作,请输入您的从 Google Authenticator 应用程序中获取 6 位 MFA 验证码。😂
    腾讯云助手小程序里有个虚拟 MFA
    gaobh
        9
    gaobh  
       164 天前 via iPhone
    @lifansama 那都是不是给 c 端用户用的哈哈
    gaobh
        10
    gaobh  
       164 天前 via iPhone
    @gaobh 那都不是
    fydss
        11
    fydss  
       164 天前
    国内我目前有用到就 163 邮箱,没想到吧,他支持 TOTP
    lcy630409
        12
    lcy630409  
       164 天前
    有的 比如阿里云这种类型的 会把 MFA 当做一个和手机号同级的安全验证,级别还比较高,但是这需要用户了解这个,所以还是特定站点用的多 需要较高安全性的那种
    yjxjn
        13
    yjxjn  
       164 天前   ❤️ 1
    国内云服务支持(阿里云,腾讯云,百度云等等)
    V2EX 支持
    163 邮箱支持
    ——————
    这是我目前发现的,欢迎补充。
    LaoDahVong
        14
    LaoDahVong  
       164 天前
    国外 TOTP 也没有很流行啊. 我的两个银行也都是手机号短信验证. 除了 Steam 和 Github, 暂时想不出自己用的哪个服务推广 TOTP 了.
    kenniewwwww
        15
    kenniewwwww  
       164 天前
    @LaoDahVong 几乎全有好吧,discord, twitch, CF, 亚麻,任意学校公司账户
    ronman
        16
    ronman  
       164 天前
    @yjxjn V2EX 不能算 国内 网站吧 哈哈
    GeekGao
        17
    GeekGao  
       164 天前
    FaceID 呀 ,银行类 APP 都普及这种方式了( FIDO )。
    JKOR
        18
    JKOR  
       164 天前 via Android
    学习成本太高,不说老年人,多少年轻人都整不明白。咱们可能认为 TOTP 保护隐私,无需网络,但对于很多人来说就是不如短信验证好用,TOTP 不备份还容易丢。
    bao3
        19
    bao3  
       164 天前   ❤️ 1
    因为国内的 PM 蠢人,以为手机加短信就可以验证了,他们以为一个人从初中到死,是不会换手机号的,所以手机号加短信是可信认证。
    其结果就是,当一个人的号码停用后,这个号码加短信的可信组合,下一个人可以继续用……
    ltkun
        20
    ltkun  
       164 天前 via Android
    我说一个 智能门锁的开门随机密码 类似 totp
    happyrespawnanch
        21
    happyrespawnanch  
       164 天前
    网易邮箱可以设置 totp,别的暂时没遇到过
    chendy
        22
    chendy  
       164 天前   ❤️ 3
    投入不小风险不小收益不大

    程序员以为:我们的网站支持了标准的 TOTP 验证,非常标准
    客户认为:什么**玩意,这玩意咋配啊,卧槽我之前配了咋找不着了,就不能给我发个手机验证码么

    至于楼里提隐私的…我只能缓缓打出一个问号
    xiamy1314
        23
    xiamy1314  
       164 天前
    短信验证更合适.
    HaoranWei
        24
    HaoranWei  
       164 天前
    目前在用网易 163 邮箱的 TOTP
    MrSheng
        25
    MrSheng  
       164 天前
    @totoro625 #3
    如果在非强制的情况下,大部分人依然短信或者人脸,那才可以说 “没有隐私的感念”
    abersheeran
        26
    abersheeran  
       164 天前
    技术要服从需求,国内没有 TOTP 的需求。因为手机号是都有的,额外增加一个 TOTP 纯浪费人力物力,还要教育客户使用。
    mouyase
        27
    mouyase  
       164 天前
    QQ 是支持的,玩过腾讯网游的应该都知道手机令牌
    sunnysab
        28
    sunnysab  
       164 天前
    TOTP 的密钥掉了真找不回来,怎么办。
    另外,主流云厂商都支持了,偏向技术用户的用 TOTP 可能更多。
    chf007
        29
    chf007  
       164 天前
    你的国内网站是指啥,我所了解到的,大部分都是支持 TOTP 的,只不过很多不是强制的
    iLtc
        30
    iLtc  
       164 天前
    说到 TOTP ,国外现在又掀起了 Passkey ,感觉国内短时间内不会跟上
    rabt
        31
    rabt  
       164 天前
    因为短信也属于 2fa ,和 TOTP 算是一种东西,短信也符合国情
    veightz
        32
    veightz  
       164 天前 via Android
    门槛高。totp 前司重度使用过,老是说这个东西有使用门槛,不会用的用户还挺多的。可能 v2 上的老哥觉得这玩意儿根本没啥门槛,但实际上很多用户根本不会用。
    验证码软件也良莠不齐。之前某大厂的验证器有兼容问题,升级 iOS 后直接打开会丢数据。
    各平台间兼容性一般。多用几个带 totp 的平台,会发现,有些平台直接会覆盖你的另一个现有密钥。丢了麻烦不小。
    CharmingCheung
        33
    CharmingCheung  
       164 天前   ❤️ 1
    将军令也是一种 TOTP
    Huelse
        34
    Huelse  
       164 天前
    提出这个问题说明不是做产品的,另外国外服务更依赖邮箱验证,很多用户不知道 TOTP 是什么。
    privater
        35
    privater  
       164 天前 via iPhone
    美国现在其实也不是都支持 2FA 、尤其是银行最近 10 年几乎都改成对短信强依赖了。
    majula
        36
    majula  
       164 天前
    TOTP 只是 2FA 的一种手段,对于国内一般用户来说,便利性往往不如手机短信

    我们可能算是国内公司的另类吧,毕竟自诩的是数据安全,目标用户也往往是有技术背景的。在我们网站注册的账号,绑定手机号仅作为满足监管要求的手段,不用于用户认证。密码作为主要凭证,用 WebAuthn 做 2FA 。然后每个账号可以绑定一个 GPG key ,重置密码之类的操作需要用这个 key 签名一个请求。如果 GPG key 丢了,你就算拿着身份证到我们公司前台,也不会给你找回账号。
    c3c8c0
        37
    c3c8c0  
       164 天前
    qq 安全中心
    Huelse
        38
    Huelse  
       164 天前
    还有 TOTP 有相对较高的丢失率,找回难度大,这也导致使用门槛较高,相比较下手机号和邮箱更易找回。
    arischow
        39
    arischow  
       164 天前
    因为产品没想过出海
    nothingistrue
        40
    nothingistrue  
       164 天前   ❤️ 1
    你要搞明白了这个问题,那你现在的问题自然就懂了:STEAM 为啥要在公版 TOTP 以外,去搞一个要额外绑定手机号的专用 TOTP 。
    albert0yyyy
        41
    albert0yyyy  
       164 天前
    反思
    karott7
        42
    karott7  
       164 天前
    手机验证码和 totp 不差不多么?再加上国内也有扫码登录,人脸验证,差不多了。
    国外用 totp 是因为手机短信费用贵吧
    bitxeno
        43
    bitxeno  
       164 天前 via Android
    现在 TOTP 对普通用户门槛高体验很一般,除非以后手机系统直接集成了
    docx
        44
    docx  
       164 天前 via iPhone
    主要是用户习惯,不过个别网站还是支持的,比如网易邮箱,然后就是和程序员打交道的云服务网站基本都支持(进一步证明了用户群体的原因)
    litblue
        45
    litblue  
       164 天前
    国内实名制,手机绑定是几乎是强制的,可以替代 TOTP ,且更易用。
    TOTP 的用户理解成本高。
    手机号码有可能更换,但现在可以携号转网,也没有漫游费之类的问题,更换频率已经很低了。TOTP 因为手机更换、程序不小心卸载等原因丢失的概率更高。
    realpg
        46
    realpg  
       164 天前
    国内版本领先更多...

    未来国外的非企业应用, 更多会逐渐转向短信验证, 但是已经支持的 TOTP 不会移除
    realpg
        47
    realpg  
       164 天前
    @docx #44
    云服务网站倒不是因为跟程序员打交道更多什么的
    他们基本也是主要短信的
    MFA 是跟短信同等级别是因为 这些网站的操作者大概率要操作很多个账号 全绑一个手机 很大程度上就没啥用的
    科技公司的各种客户, 一个客户一个阿里云
    一堆域名分布在不同的客户账号
    这些人才是云服务的 MFA 验证器的最大用户源
    fionasit007
        48
    fionasit007  
       164 天前
    一般网游都有这种令牌软件
    tunggt
        49
    tunggt  
       164 天前
    就像楼上说的,国内有强制实名制。
    本来短信验证码就已经是两步验证了,所以 TOTP 用处就没这么大了。

    另外国内你懂得,各家玩各家的,当年 openid 都没搞起来,凭什么 TOTP 就能起来?
    woodwhales
        50
    woodwhales  
       163 天前
    我前阵子对自己的开源 web 项目( https://github.com/woodwhales/woodwhales-music )增加 2FA 认证功能,也想过这个问题,本打算参考了一下阿里云、腾讯云,结果都没有 2FA ,于是参考了 github 、cloudflare

    腾讯云账号密码登录之后,需要小程序扫码再次确认,阿里云同理。其他云服务差不多同理。重点是,这些小程序一般都已经实名认证了,有现成直接用就行了

    总结来说,个人觉得:
    1 、用户习惯问题,国内用户已经培养成,手机验证码认证。而国外一般老外不喜欢随意暴露更多个人信息
    2 、服务成本,虽然 2FA 认证成本更低,但仅仅是对服务开发者,对用户来说丢了恢复码成本太高了。小厂商没有这个 2FA 意识,大厂商觉得我都有用户的人脸、身份信息,有现成的小程序干嘛多加成本开发 2FA 呢,用户万一账号丢失或者盗窃了,活体认证就立马恢复了,用户体验好
    tyzrj766
        51
    tyzrj766  
       163 天前   ❤️ 1
    我觉得就 2FA 那个恢复码备份就得难道大部分普通用户,很多圈内用的人都难保某一天忘记或者丢失,让普通用户搞这个更麻烦了。短信、人脸这些就方便一些,都在手机上一扫就完事。

    倒是小时候 QQ 被盗过一次,后来就下血本买了一张密保卡,实体版 2FA🤣
    november
        52
    november  
       163 天前
    @nothingistrue 求指教,我也不明白为什么 steam 不用通用 totp ,而要弄它的 app 。我现在登录总是要去邮箱找验证码,老麻烦了。
    lovelylain
        53
    lovelylain  
       163 天前
    @tyzrj766 然而现在密保卡已经作废,完全依赖手机号了吧?我以前有给 QQ 设置过密保,现在完全找不到使用当时密保信息的地方,只有手机号验证,有的地方还只能主动发短信,例如我刚才想用第三方客户端收 qq 邮件,告诉我得用授权码,去获取授权码得发短信验手机号,没有其他验证方式。
    dingwen07
        55
    dingwen07  
       163 天前 via Android
    国内的手机号安全,国外以前换卡攻击十分泛滥所以 SMS OTP 并不被认为是安全的 2FA 手段
    zx900930
        56
    zx900930  
       163 天前
    奇安信 edr 也支持 totp 登录
    flyqie
        57
    flyqie  
       163 天前 via Android
    那么这就有个问题了。

    为什么国内的网站需要支持 TOTP 验证?

    你觉得对普通 C 端用户有什么优势吗?
    baobao1270
        58
    baobao1270  
       163 天前
    主要是没有动力去做,加上用户需求不大吧。
    面向企业的,比如阿里云、腾讯云、百度云,都是支持的。
    现在阿里云和腾讯云也支持 passkey 了,需要子用户(根用户不支持)。
    liduoduo
        59
    liduoduo  
       163 天前
    @JensenQian 这个...不考虑墙啊 google authenticator 不都支持云备份了?
    JensenQian
        60
    JensenQian  
       163 天前 via Android
    @liduoduo 左上角搜下这两的备份都多少人丢失过了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5402 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 08:59 · PVG 16:59 · LAX 00:59 · JFK 03:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.