系统二次验证大佬们有什么解决方案吗?

TOTP 现在 Google Authenticator 是 de facto 了吧
除此以外就是 OOB，短信发送代码

具体要求参考 NIST 2017 年版的标准指南，Section 5
https://pages.nist.gov/800-63-3/sp800-63b.html#sec5

SMS/电话 国内可靠，国外不可靠，SIM Swap 分分钟破掉
TOTP/HOTP 需要安装软件，如 Google Authenticator 或 Microsoft Authenticator
WebAuthn 需要 FIDO 安全密钥
Yubico OTP 需要 YubiKey，很贵
也可以开发一个手机端 app 进行推送或者集成 Duo Security 的解决方案

对了还有一种 TOTP/HOTP 物理令牌，类似银行那种会显示数字，每隔一段时间或者按压按钮更新的

安全性要求高的，还可以使用 TLS 双向认证的方案。必须在安装了数字证书的浏览器上才可以正常访问。
或者像一些银行之类的是把证书放在物理 U 盾里定期更新，配合 U 盾驱动免去装证书的麻烦。

@dingwen07 查了以下 SIM Swap，怎么会有这么坑的运营商，手机号随随便便就补办的意思？

首先，“这种看到某些特定界面的时候要求二次验证”的验证，是高安全场所下的“重新验证”，只需要使用原本的认证方式——密码或扫码——即可。它需要的是重新验证一次原来的认证，而不是额外验证其他的认证（这句话中的两个认证，都是名词）。楼上霹雳啪啦那一堆回复，说得是两步认证，很有可能不是楼主想问的场景。

然后，单纯的两步认证的话，TOTP 是最简单也是最可靠的两步认证方式。短信验证只是最省事的方式，但既不简单也不可靠，一般国外大厂都是拿短信验证做辅助或者三步认证。

最后纠正一下楼上的谬论，TOTP 是一种算法，不依赖任何工具，不被 Google Authenticator 或 Microsoft Authenticator 绑定，有很多工具都可以用来支持 TOTP 。

补一个 TOTP 的资料，文章后面还有更原始的引用。https://studymakesmehappy.club/posts/%E4%B8%A4%E6%AD%A5%E9%AA%8C%E8%AF%81%E5%99%A8%E6%98%AF%E5%A6%82%E4%BD%95%E5%B7%A5%E4%BD%9C%E7%9A%84/

用 rsa 令牌，类似银行那种，每分钟生成一个动态密码