V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
find456789
V2EX  ›  问与答

国内几乎所有网站都可以用验证码找回密码,那么 [两步验证-Google 身份验证器] 是否没必要使用了?

  •  
  •   find456789 · 2020-08-05 00:32:53 +08:00 · 3525 次点击
    这是一个创建于 1572 天前的主题,其中的信息可能已经有所发展或是发生改变。

    虽然 生成的 6 位数字,可以离线使用, 但是现在几乎任何时候都可以接收验证码

    那么 还有必要 开通 [两步验证 中的 Google 身份验证器] 吗?

    17 条回复    2020-08-06 08:05:13 +08:00
    iseki
        1
    iseki  
       2020-08-05 00:39:54 +08:00 via Android   ❤️ 4
    我倒觉得 2fa 才是正确方案,短信需要你信任运营商,邮件需要信任邮件提供商,唯有 TOTP,你自己的设备还不信吗
    laike9m
        2
    laike9m  
       2020-08-05 00:41:24 +08:00 via Android
    啥意思,目的根本不一样啊,怎么对比
    cydian
        3
    cydian  
       2020-08-05 00:46:21 +08:00 via Android
    然而还有凭借短信验证码可以取消二步验证的呢
    BrettD
        4
    BrettD  
       2020-08-05 00:49:14 +08:00 via iPhone
    SIM 卡可能被人伪冒机主补卡,也可能被 2G 降级攻击+嗅探
    TypeError
        5
    TypeError  
       2020-08-05 00:52:27 +08:00 via Android
    短信问题太多
    换卡攻击
    SS7
    伪基站
    XsterreX
        6
    XsterreX  
       2020-08-05 03:11:18 +08:00 via iPad
    我一直的想法是,实名制催生短信注册验证登录,一站式解决所有问题
    国外大多用二步验证,更像是国外的类短信解决方案

    说不是孰优孰劣,各自环境不同吧
    短信直接登录,确实是问题,感觉正解是密码登录加短信验证
    Laforet
        7
    Laforet  
       2020-08-05 05:49:48 +08:00 via Android
    邮件至少可以用 tls+gpg 签名,而短信从来都不是可靠的传输协议,没法比。至少已经被报道的那些社工实例里还没有 totp 的 2fa 被攻破的例子。
    iConnect
        8
    iConnect  
       2020-08-05 08:03:35 +08:00 via Android   ❤️ 1
    国内强制实名制需要绑定手机号,使用短信验证是水到渠成,对用户最少干扰的选项。2fa 从技术逻辑上肯定是更安全的,但是实际使用中,会出现手机丢失等意外情况,然后就彻底懵逼啦。

    我就有因为刷机把验证器毁了,后果不堪设想。总之,在国内手机被盗,可以拿身份证补卡,没有办法补手机。所以还得多处备份 2fa,其实并没有更安全。
    xingyuc
        9
    xingyuc  
       2020-08-05 08:13:59 +08:00
    @iConnect 微软、google 的有在线备份,1pwd 也可以账户同步,比到处留手机号强多了
    ifxo
        10
    ifxo  
       2020-08-05 09:00:49 +08:00
    黑你的号不一定要改密码,可以和你共用啊,你也发现不了
    iConnect
        11
    iConnect  
       2020-08-05 09:05:30 +08:00 via Android
    @xingyuc 那么问题来了:你是如何保障微软、谷歌的账号安全的呢?
    anyclue
        12
    anyclue  
       2020-08-05 10:19:00 +08:00
    @iseki 也不一定吧,验证码是 Google 自家的 App 根据密钥产生的,Google 是一家商业公司,存在将密钥传回服务器后台偷偷生成验证码的可能,就是类似你说的验证码需要信任提供商。这个方案是没有问题,但是这个 App 后期好像也不开源了,有没有后台的肆意操作毕竟就不知道了
    zy8848
        13
    zy8848  
       2020-08-05 10:31:59 +08:00
    有些网站的登陆真的是直接登陆

    有些网站的登陆是经过风险计算后的登陆

    “Google 身份验证器” 在理论上的确更安全

    但是使用 n 项不很安全的验证因子跑出来的结果未必就不安全

    登陆方式的便捷正是说明新技术的进步
    Xusually
        14
    Xusually  
       2020-08-05 11:12:08 +08:00
    @iseki 自己设备 TOTP 这个没问题。
    但是 2fa 并不是就是 TOTP 啊,2fa 只是两步验证而已,第二个因素有时候是短信、有时候是 iCloud 一样的其他设备验证码推送、有时候是另一个邮件,有可能是 OTP 的某一种。
    iseki
        15
    iseki  
       2020-08-05 13:06:22 +08:00
    @Xusually 是,我理解错他题意了,我想怼的是验证码登录那种东西
    phy25
        16
    phy25  
       2020-08-05 14:41:24 +08:00 via Android
    @anyclue #12
    > 验证码是 Google 自家的 App 根据密钥产生的

    Time-based One-time Password algorithm (TOTP) 是人人可实现的 RFC6238,其他一些 2FA 协议也同样是标准,至于说为什么大家到最后都在用 Google 的大概还是品牌信任吧。
    anyclue
        17
    anyclue  
       2020-08-06 08:05:13 +08:00
    @phy25 TOTP 的实现标准和算法没有问题,但是 App 有没有额外加“料”,又不是开源的,谁能保证没有问题,要是开源的我说的就是错的,不是的话就可以质疑
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2560 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:38 · PVG 10:38 · LAX 18:38 · JFK 21:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.