为什么国内的网站几乎都不支持 TOTP 验证?

反思

手机验证码和 totp 不差不多么？再加上国内也有扫码登录，人脸验证，差不多了。
国外用 totp 是因为手机短信费用贵吧

现在 TOTP 对普通用户门槛高体验很一般，除非以后手机系统直接集成了

主要是用户习惯，不过个别网站还是支持的，比如网易邮箱，然后就是和程序员打交道的云服务网站基本都支持（进一步证明了用户群体的原因）

国内实名制，手机绑定是几乎是强制的，可以替代 TOTP ，且更易用。
TOTP 的用户理解成本高。
手机号码有可能更换，但现在可以携号转网，也没有漫游费之类的问题，更换频率已经很低了。TOTP 因为手机更换、程序不小心卸载等原因丢失的概率更高。

国内版本领先更多...

未来国外的非企业应用, 更多会逐渐转向短信验证, 但是已经支持的 TOTP 不会移除

@docx #44
云服务网站倒不是因为跟程序员打交道更多什么的
他们基本也是主要短信的
MFA 是跟短信同等级别是因为 这些网站的操作者大概率要操作很多个账号 全绑一个手机 很大程度上就没啥用的
科技公司的各种客户, 一个客户一个阿里云
一堆域名分布在不同的客户账号
这些人才是云服务的 MFA 验证器的最大用户源

一般网游都有这种令牌软件

就像楼上说的，国内有强制实名制。
本来短信验证码就已经是两步验证了，所以 TOTP 用处就没这么大了。

另外国内你懂得，各家玩各家的，当年 openid 都没搞起来，凭什么 TOTP 就能起来？

我前阵子对自己的开源 web 项目（ https://github.com/woodwhales/woodwhales-music ）增加 2FA 认证功能，也想过这个问题，本打算参考了一下阿里云、腾讯云，结果都没有 2FA ，于是参考了 github 、cloudflare

腾讯云账号密码登录之后，需要小程序扫码再次确认，阿里云同理。其他云服务差不多同理。重点是，这些小程序一般都已经实名认证了，有现成直接用就行了

总结来说，个人觉得：
1 、用户习惯问题，国内用户已经培养成，手机验证码认证。而国外一般老外不喜欢随意暴露更多个人信息
2 、服务成本，虽然 2FA 认证成本更低，但仅仅是对服务开发者，对用户来说丢了恢复码成本太高了。小厂商没有这个 2FA 意识，大厂商觉得我都有用户的人脸、身份信息，有现成的小程序干嘛多加成本开发 2FA 呢，用户万一账号丢失或者盗窃了，活体认证就立马恢复了，用户体验好

我觉得就 2FA 那个恢复码备份就得难道大部分普通用户，很多圈内用的人都难保某一天忘记或者丢失，让普通用户搞这个更麻烦了。短信、人脸这些就方便一些，都在手机上一扫就完事。

倒是小时候 QQ 被盗过一次，后来就下血本买了一张密保卡，实体版 2FA🤣

@nothingistrue 求指教，我也不明白为什么 steam 不用通用 totp ，而要弄它的 app 。我现在登录总是要去邮箱找验证码，老麻烦了。

@tyzrj766 然而现在密保卡已经作废，完全依赖手机号了吧？我以前有给 QQ 设置过密保，现在完全找不到使用当时密保信息的地方，只有手机号验证，有的地方还只能主动发短信，例如我刚才想用第三方客户端收 qq 邮件，告诉我得用授权码，去获取授权码得发短信验手机号，没有其他验证方式。

@november #51 联动 https://arstechnica.com/gaming/2024/05/after-you-die-your-steam-games-will-be-stuck-in-legal-limbo/

国内的手机号安全，国外以前换卡攻击十分泛滥所以 SMS OTP 并不被认为是安全的 2FA 手段

奇安信 edr 也支持 totp 登录

那么这就有个问题了。

为什么国内的网站需要支持 TOTP 验证?

你觉得对普通 C 端用户有什么优势吗?

主要是没有动力去做，加上用户需求不大吧。
面向企业的，比如阿里云、腾讯云、百度云，都是支持的。
现在阿里云和腾讯云也支持 passkey 了，需要子用户（根用户不支持）。

@JensenQian 这个...不考虑墙啊 google authenticator 不都支持云备份了？

@liduoduo 左上角搜下这两的备份都多少人丢失过了