扫码登录或者一键认证登录这种在国外网站上为什么实行的少呢？

不觉得在电脑上登录还要手机操作很 sb 么……

不严谨的说，可以把手机看成独立的密钥设备，比如 U 盾，只不过区别于 U 盾通过 USB 连接电脑，手机是通过图像识别连接电脑。
这比喻真尴尬……

有 Google Authenticator

各家 otp 实现方法不同，但总体上大同小异，rfc 我记得有相关规定
既然有足够通用的 otp，为什么要一个新的私有 2fa 应用？
（实名批判 steam 使用的私有验证 app

哦抱歉理解错了，以为你说的是电脑端微信的扫码登录
其实 oauth 用的也不少，最多的就是 fb 和 g

扫码登录只是国内网站骗你装 app 而已

@Syaoran 使用需求不一样
我上面可能没说清楚，如果一定需要在一个非自己的电脑登录比如 Gmail 的时候，现在的做法只能是
1. 手机打开 1Password
2. 电脑上一个一个输入长达 20 甚至更多字符的密码

如果能够手机确认的话 （例如现在 Yahoo 做法）那么就变得简单很多了
1. 手机打开 Yahoo 按一个键，登录成功

@autoxbc
@BXIA
我需要的不是 2FA，是一个能帮助输入密码的东西，在一个非自己的电脑上。而且这种需求对我来说很大
当然可以 argue 说把密码设置的简单点然后用 2FA 增加安全性。但我觉得实际上这是把 2FA 的双层安全性降低了

@sinv 其实可以这么说，Yubikey 的 Security Key 据说已经支持免密码登录了

@Valyrian 不可否认一定程度上满足了我的需求。

我原来在某外资银行工作

客户体验部门几次提出要增加扫图登陆 但安全和法务一直不认可 这里面主要有责任的考虑

比如说某银行网站被反代

你输入用户名密码是你没有仔细查看网址的责任

手机扫图后代替你登录的话 App 也有部分责任了 （未能识别出图片被反代了 虽说技术上难以区分）

另外是使用习惯上的差异 二维码整体在国外就不流行

在欧美国家大街上看到的二维码 绝大多数都是微信公众号 微信支付之类针对中国游客的 外国人用二维码的比较少

当然 Walmart Pay 之类的也是有的 但都是动态生成显示在自己的结账设备上的 风险可控

另外 Gmail 就可以用手机客户端一键确认代替 2FA
但是主密码还是要在桌面端先输入的
不然手机遗失了 对方就可以无密码上你账号了

安全 隐私 责任 这些问题一涉及到财产 在国外就特别麻烦 各种监管要求很多 动辄被罚款 所以多数公司还是小心谨慎的

智能手机也没那么普及吧

我之前实习的时候公司里面有年纪大的人都是翻盖手机

@LxExExl 这是个可选项，不是必须项。想必 V2 也不是所有人都会用随机密码吧？


@TtiGeR 感谢，安全性是一个问题，但是觉得反待来说输入密码也有一定安全性问题吧？其实是一样的

感觉国外的监管来说其实和国内比较并没有太大的麻烦，比如说国内基本上所有银行都会有 U 盾之类的东西，强制二次验证，加拿大银行根本没有这个东西，只需要一个密码，登录进入账户，什么都可以操作。甚至某银行还限制用户密码不能超过 6 个字符.... 也就是最近一年才有部分银行引入了手机短信二次验证，但也只是部分而已

涉及银行，财产 强制要求也罢，那么 Google 应该就不会有这么强制的限制了吧？

你发的“ Google 的东西“并不是 2FA，就是 1FA 手机登录的。这方面他们似乎还是更安全才更好的设计。

@phy25 你是说 Yahoo 的？

@SharkIng https://support.google.com/accounts/answer/6361026?hl=zh-Hans 已经写了不需要密码几个字。

@phy25 对，我就是需要这种 “不需要密码” 的。但是我设置了后试了并不是很好用，每次登录还是提示输入密码。

@TtiGeR 今年下半年我这儿突然流行了滑板车，貌似是扫码的。https://itunes.apple.com/us/app/lime-your-ride-anytime/id1199780189 感觉和国内的 ofo 看齐了。


@SharkIng 感觉美国金融要严格一些。快速转钱还是这一两年才开始的，之前转个钱大概要一周，所以相对来说风险控制可能要好点... 同时消费者比较讨厌 U 盾，插件什么的。同时，从政治正确上说，银行要是强制必须 IE 登录，那么被喷垄断恐怕是必然的。哪怕在学校里面，人家爱用啥机器用啥机器，根本说不得。

但同时，据我所了解，无论 boa，discover，chase 或者其它什么银行，没有事先报备，异地登录必然触发各种 check，"也就是最近一年才有部分银行引入了手机短信二次验证"这个我感觉好像很久前就会被短信或者语音或者 email double check 吧。

@yuikns 可能加拿大和美国还是不一样吧，虽说我觉得理论讲应该事差不多的，毕竟 TD 之类的在美国也有分行，不应该会去搞两治吧？

异地登录的 Check 的确也有，但是总体没有想象中那么严格。U 盾和安全控件没有，感觉完全缺少了安全性。不过说垄断等问题也是一个因素吧。

转钱是很慢，不过理论讲没谁会天天去查账户里钱时不时少了的，有些银行有邮件通知，但不是全有。短信二次验证也是 TD 今年才有的，其他四大好像都没有。

国内我就基本没见着有正经 2FA 的网站，最多短信，直接验证码登录 1FA 倒是不少，密码都被弱化了

Android Pie 加入了蓝牙 HID profile，从手机上通过蓝牙发送密码到电脑的功能在各密码管理器里有望实现。

国内的做法普遍是把增强安全的 2fa 给砍成降低实际安全性的 1fa，然后强制你下个 app 完成 kpi。