Oddbean new post about | logout
Lepidus | 7 months ago (raw) | export | reply | flag +1 
 真的烦国内的网站需要发短信验证码的。
可选TOTP双重验证不行吗?
微信还要扫码登录,没手机用不了是吧。
6svjszwk | 7 months ago (raw) | root | parent | reply | flag 
 接收验证码或者微信扫码是不是就能定位到手机?
Lepidus | 7 months ago (raw) | root | parent | reply | flag 
 监控做到极致
1024党总干事 | 7 months ago (raw) | root | parent | reply | flag 
 跟监控无关,因为你登录上去之后,能监控的更全面详细。
FelixMöller | 7 months ago (raw) | root | parent | reply | flag 
 就是要求实名制的意思吧!
welkin | 7 months ago (raw) | root | parent | reply | flag 
 第一个是成本低+覆盖面广,第二个是懒得创新。
成本低指的是执行成本和用户的学习成本,覆盖面广指的是国内几乎人手一个手机号。
其他的我就暂时想不到了。
1024党总干事 | 7 months ago (raw) | root | parent | reply | flag 
 你的解释应该是准确的,做一个成熟的系统,只能选择稳定可靠低成本易用的方案。

其他方案明显都不够安全或者易用性不够高,就扫码或者短信验证码还有很多老人不懂呢,何况额外的软硬件验证方案。
1024党总干事 | 7 months ago (raw) | root | parent | reply | flag 
 比如银行账号,就可以用更安全的U盾来验证,成本和安全性,他们显然选择安全性优先。

考虑另外一个软件,比如QQ和游戏账号,早几年的时候盗号有多疯狂你们应该清楚,现在QQ绑定手机号之后就很少听说盗号了,网易游戏账号登录用到的将军令就类似TOTP验证,也很少盗号了。
Lepidus | 7 months ago (raw) | root | parent | reply | flag 
 可以做多几种验证方式给用户选择。
像甲骨文云可以使用多种TOTP,还有硬件设备验证。
短信验证可以作为其中一种验证方式。