为什么国内网站喜欢用短信作二次验证,而不用 TOTP?

你让用户再装个 app ？好多用户年纪大的，密码都记不住，后来我们没办法了，只能用短信了

短信是一次验证 + 最强权重，这种畸形模型。和 MFA 没有任何关系。没有短信你知道密码、知道 TOTP 、可以收邮件验证码都没卵用，只能乖乖手持身份证求他们把号还给你。

同好奇这个问题。目前知道国内在用的，好像就只有坚果云。

三要素实名认证
方便多平台数据打通
最关键的是可以给发营销短信

要手机号就算了，，但是你能不能引导个绑定邮箱，，两个手机号，我记不清自己是用的哪个注册的 - -，经常一不小心多注册一个号。。

100 个应用，你需要关联 key, 到时候怎么找？

@zhangfuguan bitwarden 保存密码的同时可以自带 totp 根本不用找

1.方便
2.TOTP 还要装 app ，我觉得还是算了吧，有时候就是不想装 app 才用网页版

中国特殊国情

大厂其实有的,最早还有密码卡做二次验证,还有网易将军令之类的实体 KEY,QQ 也有安全中心 app,不过缺少 Google 验证器这种通用的杀手级 APP

国外支持 TOTP 的基本也都能用短信做替代验证

美国的亚马逊，discover ，amex ，schwab ，chase 也是用短信验证登录，以上这些的二次验证短信我都存着呢。
并没有感觉国内国外在发短信的偏好上有什么区别

我寻思国外也喜欢 SMS 吧？

說起來，怎麼能完全保證本地 FA 不會丟失？運營商倒閉的風險比託管算法的 app 倒閉的風險小很多

最恶心的是国内运营商短信还 tm 收费,北美几乎都是免费的,微信,企业微信,抖音每次都要自己主动发短信,人在国外国际漫游登陆一次就收费 0.99 元,还 tm 没有 esim 手机号丢了还要从国内补办

@ruimz @pendulum 是的,国外的 Uber doordash 外卖都是 SMS 或者邮箱验证码,没有二次验证的话窃取了密码可以直接用绑定在账号里的信用卡下单了.信用卡都不需要输入支付密码,前些天有个人迪士尼丢了 Apple watch Apple Pay 刷无透支额度上限的信用卡盗刷了 4 万美金

还是喜欢用邮箱接收验证码,这样电脑平板都能查看验证码,不需要看手机,SMS 转发还需要 iPhone iPad Mac 用 iCloud 转发,我 chase 银行都是用邮箱接收验证码,出国也不用保留手机号和开通国际漫游并且接收发送短信收费.

1. 因为手机号是必需的，有实名制需求
2. 国内产品经理理解的易用不是简洁，而是把用户当成啥也不知道的猪

我觉得短信实际上更先进

伪基站嗅探走一个验证码有啥用，你登录 session 还在发验证码的用户那呢

其实还有一个很严重的问题，就是手机号停号之后，过一段时间运营商还是会拿出来卖的。
这就意味着，如果用手机号注册的服务，在停号之前忘了解绑，停号之后又忘了去服务那里换号码。就有很大的可能被别人使用，尤其是通过短信验证码登录的服务。
现在用手机号注册的服务那么多，如果有一天停号了，谁会记得自己之前注册过哪些。最多就是记得一些自己常用的服务。
之前好像有消息说运营商要和互联网公司合作，要解决这个问题。现在也不知道进展如何。不过这最多也就是那些用的人多的互联网大厂可能会关注，那种小众的估计就只能靠自己了。

与短信相比，我觉得还有一种更瓜的，腾讯云的 TOTP ，他必须要你使用微信小程序添加，不能用第三方的 TOTP App 去添加。在线 TOTP ，真是让人大开眼界。