直接用 TOTP 代替密码登录 有啥问题么?

2024 年 7 月 5 日
 est

密码难得记,被破了又很麻烦。

既然都有各种 2FA 绑定,要不直接用 账号+TOTP 登录。不要密码了。

TOTP 每分钟刷新一次,限制每 10 秒只能尝试一次登录。这样有啥安全问题么?

4080 次点击
所在节点    信息安全
29 条回复
leonshaw
2024 年 7 月 6 日
服务端要算出同样的验证码来比较,没办法加盐。除非用某种同态变换,肯定不是现在的算法。
neroxps
2024 年 7 月 6 日
passkey 现在不是很舒服么
artiga033
2024 年 7 月 6 日
@liuidetmks 微软这个最搞笑,如果你删掉了账号密码,那就无法远程桌面到 Microsoft 账号的 Windows ,因为 rdp 协议目前还只支持经典账号密码
hicdn
2024 年 7 月 6 日
现在的 passkey 就是在解决这个问题
azraeljack
2024 年 7 月 7 日
密码至少还能记住,totp 还得每次掏 authenticator 出来查,这种场景用 passkey 不是更好么。
hanyuwei70
2024 年 7 月 7 日
如果是全新系统一律推荐直接上 FIDO2
MagicalCarl
2024 年 7 月 7 日
我觉得安全性是可以的,我记得之前的支付宝未登录支付的话只需要输入账户名和 6 位数支付密码即可,支付密码只能尝试五次
dorothyREN
2024 年 7 月 7 日
totp 30 秒内 10w 次一定可以登录成功
BadFox
2024 年 7 月 9 日
@keyfunc
OTP 喷洒...思路是 OK 的,但是异常动作检测就行,一个 IP 对不同用户喷洒多次就直接封禁,这样你有几个 IP 可以切?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1055109

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX