搜索
  • 为什么国内的网站几乎都不支持 TOTP 验证?
  • 发布于 2个月前
  • 454 热度
    11 评论
如题,为什么国内的网站几乎都不支持 TOTP 验证?
用户评论
  • 原木风
  • 国内实名制,手机绑定是几乎是强制的,可以替代 TOTP ,且更易用。TOTP 的用户理解成本高。手机号码有可能更换,但现在可以携号转网,也没有漫游费之类的问题,更换频率已经很低了。TOTP 因为手机更换、程序不小心卸载等原因丢失的概率更高。
  • 2024/5/27 17:12:00 [ 0 ] [ 0 ] 回复
  • 李明发
  • TOTP 只是 2FA 的一种手段,对于国内一般用户来说,便利性往往不如手机短信。我们可能算是国内公司的另类吧,毕竟自诩的是数据安全,目标用户也往往是有技术背景的。在我们网站注册的账号,绑定手机号仅作为满足监管要求的手段,不用于用户认证。密码作为主要凭证,用 WebAuthn 做 2FA 。然后每个账号可以绑定一个 GPG key ,重置密码之类的操作需要用这个 key 签名一个请求。如果 GPG key 丢了,你就算拿着身份证到我们公司前台,也不会给你找回账号。
  • 2024/5/27 17:05:00 [ 0 ] [ 0 ] 回复
  • 张蜚
  • 提出这个问题说明不是做产品的,另外国外服务更依赖邮箱验证,很多用户不知道 TOTP 是什么。
  • 2024/5/27 17:03:00 [ 0 ] [ 0 ] 回复
  • 暮涵
  • 门槛高。totp 前司重度使用过,老是说这个东西有使用门槛,不会用的用户还挺多的。可能 v2 上的老哥觉得这玩意儿根本没啥门槛,但实际上很多用户根本不会用。
    验证码软件也良莠不齐。之前某大厂的验证器有兼容问题,升级 iOS 后直接打开会丢数据。
    各平台间兼容性一般。多用几个带 totp 的平台,会发现,有些平台直接会覆盖你的另一个现有密钥。丢了麻烦不小。
  • 2024/5/27 16:57:00 [ 0 ] [ 0 ] 回复
  • 紫烟追梦
  • 投入不小风险不小收益不大。
    程序员以为:我们的网站支持了标准的 TOTP 验证,非常标准
    客户认为:什么**玩意,这玩意咋配啊,卧槽我之前配了咋找不着了,就不能给我发个手机验证码么
  • 2024/5/27 16:49:00 [ 1 ] [ 0 ] 回复
  • 激情飞扬
  • 因为国内的 PM 蠢人,以为手机加短信就可以验证了,他们以为一个人从初中到死,是不会换手机号的,所以手机号加短信是可信认证。
    其结果就是,当一个人的号码停用后,这个号码加短信的可信组合,下一个人可以继续用……
  • 2024/5/27 16:41:00 [ 0 ] [ 0 ] 回复
  • Jeanks
  • 学习成本太高,不说老年人,多少年轻人都整不明白。咱们可能认为 TOTP 保护隐私,无需网络,但对于很多人来说就是不如短信验证好用,TOTP 不备份还容易丢。
  • 2024/5/27 16:35:00 [ 0 ] [ 0 ] 回复
  • 青墨断笺
  • 国外 TOTP 也没有很流行啊. 我的两个银行也都是手机号短信验证. 除了 Steam 和 Github, 暂时想不出自己用的哪个服务推广 TOTP 了。
  • 2024/5/27 16:30:00 [ 0 ] [ 0 ] 回复
  • 白笙枫客
  • 1 、懒,需要额外技术去实现
    2 、国内老头子也知道短信怎么用,大伙也没有 totp 的习惯,为什么要花时间精力去做呢?
    3 、算半个实名了,况且对国内这些软件短信验证够安全了,不需要再搞个 totp 了
    4 、我们国家这个生态,短信验证已经太成熟了,各平台服务都紧密集成,就没有 totp 的生态。你让一个 pc 安卓用了十几年的人去用苹果,大伙也用不惯啊(不知道这比喻对不对,反正就那意思)
  • 2024/5/27 16:16:00 [ 0 ] [ 0 ] 回复
  • 月上眉梢
  • 1 、国内的网站强制必须认证手机号,有了手机号做 SMS 认证在搞一个 TOTP 没有必要性。
    2 、大部分用户并不了解也不会使用 TOTP 。
    3 、费劲巴拉支持 TOTP 也拿不到什么好处。
  • 2024/5/27 16:09:00 [ 0 ] [ 0 ] 回复
可能感兴趣的话题