[IT杂谈]为什么国内主流平台登陆验证不支持2FA

查看相关话题

methos

2024-09-25T16:04:58+00:00

[https://m.bilibili.com/video/BV1FZ4KekEVs https://m.bilibili.com/video/BV1FZ4KekEVs]刷到一个视频，说短信验证码容易伪造和拦截，而2FA(双因素验证，例如steam令牌)相对更安全一些。尽管需要提前设置，不如短信验证码那么便利，但是也可以给有需要的用户提供这么一个选项？海外大厂谷歌、github、推特也都可以设置2fa，为啥国内厂商几乎看不到？

Bobbygoomba

手机号验证码已经够强了，而且大众更容易理解。

Aruna

因为厂商看来你的账号没那么重要像国内云服务器厂商无一例外都是可以开2FA的

methos

+ by [Muuon] (undefined)因为厂商看来你的账号没那么重要像国内云服务器厂商无一例外都是可以开2FA的

像微信这种全民级app厂商内部也在用的吧，自己在用的账号也蛮重要的吧。没有技术人员向上提意见的？

Ahvorn

国内现在不就是短信验证码走天下了，甚至用密码登录有时候也得再收一次短信你就理解成国内直接用第二步的2fa就好了

ImDante

+ by [RengokuKyojuro] (undefined)像微信这种全民级app厂商内部也在用的吧，自己在用的账号也蛮重要的吧。没有技术人员向上提意见的？

《要花钱的嘛》国内这些玩意，你让他在每个用户上多花一分钱，就像要杀了他们老板的妈，他们更愿意含泪给你多加俩个广告

Epsilon-11

+ by [liuhuoz] (undefined)

国内现在不就是短信验证码走天下了，甚至用密码登录有时候也得再收一次短信你就理解成国内直接用第二步的2fa就好了

双因素指的是两种验证，只留一个那是单步

Big Dev

这视频不是说了是2g 3g网络吗？而且还要开国际漫游国内这个风险好像很小，不过你说的多个选择没啥问题，只不过国内环境确实不重视隐私

Nitsua

国外的服务二次验证才是超级脑抽，举例：google账号登陆要我打开youtube app来确认，在严肃场景下要我去打开一个纯娱乐app，弱智；苹果的要我去另一个设备(ipad)验证本人，我tm哪里会随身携带所有设备；诸如此类，不胜枚举。国内是公安机关加国营通信公司确保手机与实名的对应关系，丢失了也容易用身份凭证找回。然后再用手机号为账户背书，爆杀国外

Ahvorn

+ by [Shining30] (undefined)双因素指的是两种验证，只留一个那是单步

我当然知道啊，不然留个表情干啥不就是想对国内这种全靠短信验证码的情况嘲讽一下吗

methos

+ by [nnuull] (undefined)这视频不是说了是2g 3g网络吗？而且还要开国际漫游国内这个风险好像很小，不过你说的多个选择没啥问题，只不过国内环境

只是一个引子，4/5g也很好伪造的，sim卡交换攻击、Mitm……手段很多的

Ahvorn

顺带，我也有点好奇楼主咋看steam令牌也有扫码登录功能呢

alsaidi97

+ by [重生之戒] (undefined)国外的服务二次验证才是超级脑抽，举例：google账号登陆要我打开youtube app来确认，在严肃场景下要我去打开一个纯娱乐app，弱智；苹果的要我去另一个设备(ipad)验证本人，我tm哪里会随身携带所有设备；诸如此类，不胜枚举。国内是公安机关加国营通信公司确保手机与实名的对应关系，丢失了也容易用身份凭证找回。然后再用手机号为账户背书，爆杀国外

还有一个原因，国内想要搞定短信验证码的话，可行的好像就拦截基站信号、植入木马直接黑、搞电话诈骗。这几样好像不论哪个判的都比盗号要重

alsaidi97

+ by [RengokuKyojuro] (undefined)只是一个引子，4/5g也很好伪造的，sim卡交换攻击、Mitm……手段很多的

你说的这些，是不是手段本身判的比盗号还要重

Atreyuuuu

啥用没有的东西，难用的eb，宁愿没有

methos

+ by [liuhuoz] (undefined)顺带，我也有点好奇楼主咋看steam令牌也有扫码登录功能呢

扫码登录并不都是一次验证，比如微信会在扫描二维码后要求用户在移动设备上确认登录请求，从而形成双重验证2FA。但是如果只靠手机号验证码就能登陆的不算2FA。但是理论上如果攻击者获取了你的cookie，也可以使用扫码登陆。Steam需要先设置2FA才能使用扫码登录，并且绑定单设备，这样即使获取了cookie也没有办法，这样账号被盗的风险就很低了。

Matteo=)

steam手机不是早就出了扫码登录吗，都不用输令牌了。

methos

+ by [Richelieu117] (undefined)你说的这些，是不是手段本身判的比盗号还要重

判是事后造成后果的事，判的重和有没有利用这些手段犯罪是两码事吧

methos

+ by [jarod0411] (undefined)啥用没有的东西，难用的eb，宁愿没有

配合1password、keepass这类全平台密码管理器自动填充很好用，端到端加密安全性很高。

ᛈᚱᛁᛗᛖ 51210155 ᛈᚱᛁᛗᛖ

+ by [全自动上树bot] (undefined)

《要花钱的嘛》国内这些玩意，你让他在每个用户上多花一分钱，就像要杀了他们老板的妈，他们更愿意含泪给你多加俩个广告

2FA 倒比验证码短信省了大钱了，差不多平均每用户每年都要0.5到1的短信话费。