Oddbean new post about | logout
1024党总干事 | 7 months ago (raw) | root | parent | reply | flag +1 
 你的解释应该是准确的,做一个成熟的系统,只能选择稳定可靠低成本易用的方案。

其他方案明显都不够安全或者易用性不够高,就扫码或者短信验证码还有很多老人不懂呢,何况额外的软硬件验证方案。
1024党总干事 | 7 months ago (raw) | root | parent | reply | flag +1 
 比如银行账号,就可以用更安全的U盾来验证,成本和安全性,他们显然选择安全性优先。

考虑另外一个软件,比如QQ和游戏账号,早几年的时候盗号有多疯狂你们应该清楚,现在QQ绑定手机号之后就很少听说盗号了,网易游戏账号登录用到的将军令就类似TOTP验证,也很少盗号了。
Lepidus | 7 months ago (raw) | root | parent | reply | flag 
 可以做多几种验证方式给用户选择。
像甲骨文云可以使用多种TOTP,还有硬件设备验证。
短信验证可以作为其中一种验证方式。