2FA 输入验证通过的状态应该保存多久，业界是否有这方面的标准？

两步验证的验证码输入正确之后，这个状态应该保存多长时间呢？我知道现在 V2EX 的设定可能短并且不合理，我好奇的是目前业界是否有这方面的标准可以学习？

Valyrian

2018-10-04 06:57:59 +08:00

如果达到一定时间并且期间没有登陆才删除吧

liwufan

2018-10-04 07:14:17 +08:00

手机装 app （战网 steam 谷歌）一分钟刷新一次那种也算 2fa 吧，短信邮件万一还没收到就失效就傻了

Septembers

2018-10-04 07:25:28 +08:00

2FA 通过状态我觉得应该与 session 的生命周期保持一致吧？

关键操作为认为可以学习 github 再增加一次验证。
https://help.github.com/articles/sudo-mode/

chinvo

2018-10-04 07:54:11 +08:00

大部分是 30 天，Google 有自己的风控逻辑，不触发风控是永久信任设置的。

Kahnn

2018-10-04 08:28:01 +08:00

我觉得 V2EX 确实短了，感觉经常要重新验证，所以我把两步验证关了……

oott123

2018-10-04 10:04:12 +08:00

一般来讲，如果选中了「 remember this device 」之类的选项，会保存得比帐号登录的 session 保存的时间还要长…

chinvo

2018-10-04 10:10:29 +08:00

另外只要登录状态有效，大部分会自动刷新信任过期

现在 v2 登录状态下被要求 2fa 感觉怪怪的

imn1

2018-10-04 12:27:07 +08:00

@chinvo #8 +1
2FA 理应敏感操作才触发，有时候在桌面看着看着就触发了，连发帖回帖都不是，还要开个手机
不能把 2FA 当验证码用啊

phy25

2018-10-04 13:03:07 +08:00

iVeego

2018-10-04 13:39:10 +08:00

顺便提个 bug, 有时候 2fa 的验证码明明是对的，但是提示错误，等到刷新到下一个就可以了。这个 bug 偶尔会复现，不是每次都是这样。

Jzer0n

2018-10-04 14:45:38 +08:00

同感觉 V2 的触发太频繁了, 不知道 Livid 是根据什么重置的.

我 Google 的 2FA 验证, 同样的电脑验证过一次后就没有触发过, 其中更换了多个 4G 无线路由器的连接网络, 广东移动, 广东电信, 广东联通, 浙江电信, 北京联通都没有触发.

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.