不要轻易尝试阿里云 MFA ~~解绑很麻烦！

才知道这么麻烦

还好阿里云 MFA 是通用的，设置的时候可以把二维码图片（或者扫描出文本）备份起来，下次换设备直接扫就好了

昨天申请的工单回复了。
“解绑账号 mfa 吗？查看您的账号为企业实名认证，需提供：
1 、最新的工商营业执照副本原件的照片（请一定拍照上传，扫描件不支持受理）；
2 、《变更账号安全信息申请函》见附件，经办人签字按手印，加盖单位盖章；（请一定拍照上传，扫描件不支持受理）
”

~~~ 以后还是短信验证好了。

体验过啦！烦到想砸电脑。

不要用阿里云 app 去绑定，换谷歌或者微软的双因素验证 app 体验更佳，还能网络云备份。

如果是企业账号千万别吧手机号弄丢了。
别问我怎么知道的，搞了个几乎闭环的流程，提交一堆资料。

与之相反的是形同虚设的 ip 限制。。。。。。。。。偶尔可以大部分时间我发现还是随便登陆。。只被卡过一两次。。。

因为这种操作就是卡流程，他并不能真实校验什么，赌的就是信息获取难度。

触屏失效可以 otg 接鼠标操作

所以我是在 Authy 上绑定的阿里云的 MFA ，只要 Authy 不倒闭就可以用。至于阿里云 APP 上要做 MFA 校验，那就直接打开 Authy 取那边的值就行，虽然麻烦点

像 STEAM 这种强关联 MFA APP 的才难搞

实际上，不要轻易尝试任何没有备用解锁手段的 2FA 。开 2FA 的时候，给你的备用解锁手段，或者二维码，或者二维码代表的 Code 信息，一定要保存好，丢失了你就只能哭。如果上面的东西都丢失了，服务商还能让你轻易解锁账号，那这服务商肯定不靠谱。不开 2FA ，或者用短信验证做 2FA ，本质上是用安全性换易用性，重要账号不能这么干。

目前最有效的 2FA 工具，是标准 TOTP 工具，例如 Keepass + Tray TOTP 插件，用这些工具再加上适当的备份措施，能让你安心的用任何标准 TOTP 方式的 2FA 验证。很有效并且还很方便的 2FA 工具，那就只有微软 Authenticator 、谷歌身份验证器，不考虑平台通用的话还可以加上苹果钥匙串。这三个大厂有很多备用方式能够定位到“你就是你”，当客户端丢失之后会让用户在找回来。小厂通常没办法定位“你就是你”，客户端丢了就丢了很难找回来（或者能随便找回来这样就没安全性了）。而像阿里这样的国内大厂，投广告防爬虫的时候，能有海量的数据定位到“你就是你”，儿童误消费退款、账号解锁的时候，或者任何处理仅对用户有利的情况的时候，哪些数据就集体失效了。

@mytsing520 #10 STEAM 真不要开客户端 2FA ，那玩意的主要目的不是 2FA ，是防止账号共享，老老实实用邮件 2FA 最靠谱。

可是 RAM 用户登录必须启用 MFA 或 U2F ，很操蛋

解绑 MFA 这种重量级操作进行流程严格也没什么问题吧，如果很简单被别人利用了，那安全性不是更差

@mytsing520 #10
Steam 可以用抓包导出，部分第三方生成器支持 Steam 的代码，比如 Yubico Authenticator


@nothingistrue #11
目前来讲最有效的 2FA 是 WebAuthn

bitwarden 也支持 Steam TOTP

Keepass 的 TOTP 插件也支持 Steam ，基本用就能 Keepass+微软 Authenticator 保证便捷性和安全性

@nothingistrue 微软 Authenticator 不完全是标准 TOTP 工具，还提供了微软一键认证（无密码登录）的功能，TOTP 只是顺带附带的。谷歌身份验证器现在也不太推荐使用了，主要是备份比较麻烦，而且谷歌自己现在也不主推这个 2FA 软件（谷歌账号现在需要先绑定其它 2FA 才能加绑 TOTP 为可选 2FA 登录选项）。

手机端标准 TOTP 2FA 更推荐一些开源软件，例如 Android 平台的 AndOTP 或者 Aegis Authenticator ，这些都标配导出加密备份的功能。

@dingwen07 也不必抓包，桌面端的 WinAuth 就有完整的代替 Steam 手机令牌的功能（可以直接在电脑上假装手机绑定 Steam 令牌，现在还支持交易确认），然后通过它导出 secret ，添加到手机端的第三方生成器里就可以了。

华为云的也是这么麻烦的，一堆资料提交上去了，终于解绑了。。。