扫码登录或者一键认证登录这种在国外网站上为什么实行的少呢？

不觉得在电脑上登录还要手机操作很 sb 么……

不严谨的说，可以把手机看成独立的密钥设备，比如 U 盾，只不过区别于 U 盾通过 USB 连接电脑，手机是通过图像识别连接电脑。
这比喻真尴尬……

有 Google Authenticator

各家 otp 实现方法不同，但总体上大同小异，rfc 我记得有相关规定
既然有足够通用的 otp，为什么要一个新的私有 2fa 应用？
（实名批判 steam 使用的私有验证 app

哦抱歉理解错了，以为你说的是电脑端微信的扫码登录
其实 oauth 用的也不少，最多的就是 fb 和 g

扫码登录只是国内网站骗你装 app 而已

@Syaoran 使用需求不一样
我上面可能没说清楚，如果一定需要在一个非自己的电脑登录比如 Gmail 的时候，现在的做法只能是
1. 手机打开 1Password
2. 电脑上一个一个输入长达 20 甚至更多字符的密码

如果能够手机确认的话 （例如现在 Yahoo 做法）那么就变得简单很多了
1. 手机打开 Yahoo 按一个键，登录成功

@autoxbc
@BXIA
我需要的不是 2FA，是一个能帮助输入密码的东西，在一个非自己的电脑上。而且这种需求对我来说很大
当然可以 argue 说把密码设置的简单点然后用 2FA 增加安全性。但我觉得实际上这是把 2FA 的双层安全性降低了

@sinv 其实可以这么说，Yubikey 的 Security Key 据说已经支持免密码登录了

@Valyrian 不可否认一定程度上满足了我的需求。

我原来在某外资银行工作

客户体验部门几次提出要增加扫图登陆 但安全和法务一直不认可 这里面主要有责任的考虑

比如说某银行网站被反代

你输入用户名密码是你没有仔细查看网址的责任

手机扫图后代替你登录的话 App 也有部分责任了 （未能识别出图片被反代了 虽说技术上难以区分）

另外是使用习惯上的差异 二维码整体在国外就不流行

在欧美国家大街上看到的二维码 绝大多数都是微信公众号 微信支付之类针对中国游客的 外国人用二维码的比较少

当然 Walmart Pay 之类的也是有的 但都是动态生成显示在自己的结账设备上的 风险可控

另外 Gmail 就可以用手机客户端一键确认代替 2FA
但是主密码还是要在桌面端先输入的
不然手机遗失了 对方就可以无密码上你账号了

安全 隐私 责任 这些问题一涉及到财产 在国外就特别麻烦 各种监管要求很多 动辄被罚款 所以多数公司还是小心谨慎的

智能手机也没那么普及吧

我之前实习的时候公司里面有年纪大的人都是翻盖手机

@LxExExl 这是个可选项，不是必须项。想必 V2 也不是所有人都会用随机密码吧？


@TtiGeR 感谢，安全性是一个问题，但是觉得反待来说输入密码也有一定安全性问题吧？其实是一样的

感觉国外的监管来说其实和国内比较并没有太大的麻烦，比如说国内基本上所有银行都会有 U 盾之类的东西，强制二次验证，加拿大银行根本没有这个东西，只需要一个密码，登录进入账户，什么都可以操作。甚至某银行还限制用户密码不能超过 6 个字符.... 也就是最近一年才有部分银行引入了手机短信二次验证，但也只是部分而已

涉及银行，财产 强制要求也罢，那么 Google 应该就不会有这么强制的限制了吧？

你发的“ Google 的东西“并不是 2FA，就是 1FA 手机登录的。这方面他们似乎还是更安全才更好的设计。

@phy25 你是说 Yahoo 的？

@SharkIng https://support.google.com/accounts/answer/6361026?hl=zh-Hans 已经写了不需要密码几个字。

@phy25 对，我就是需要这种 “不需要密码” 的。但是我设置了后试了并不是很好用，每次登录还是提示输入密码。

@TtiGeR 今年下半年我这儿突然流行了滑板车，貌似是扫码的。https://itunes.apple.com/us/app/lime-your-ride-anytime/id1199780189 感觉和国内的 ofo 看齐了。


@SharkIng 感觉美国金融要严格一些。快速转钱还是这一两年才开始的，之前转个钱大概要一周，所以相对来说风险控制可能要好点... 同时消费者比较讨厌 U 盾，插件什么的。同时，从政治正确上说，银行要是强制必须 IE 登录，那么被喷垄断恐怕是必然的。哪怕在学校里面，人家爱用啥机器用啥机器，根本说不得。

但同时，据我所了解，无论 boa，discover，chase 或者其它什么银行，没有事先报备，异地登录必然触发各种 check，"也就是最近一年才有部分银行引入了手机短信二次验证"这个我感觉好像很久前就会被短信或者语音或者 email double check 吧。

@yuikns 可能加拿大和美国还是不一样吧，虽说我觉得理论讲应该事差不多的，毕竟 TD 之类的在美国也有分行，不应该会去搞两治吧？

异地登录的 Check 的确也有，但是总体没有想象中那么严格。U 盾和安全控件没有，感觉完全缺少了安全性。不过说垄断等问题也是一个因素吧。

转钱是很慢，不过理论讲没谁会天天去查账户里钱时不时少了的，有些银行有邮件通知，但不是全有。短信二次验证也是 TD 今年才有的，其他四大好像都没有。

国内我就基本没见着有正经 2FA 的网站，最多短信，直接验证码登录 1FA 倒是不少，密码都被弱化了

Android Pie 加入了蓝牙 HID profile，从手机上通过蓝牙发送密码到电脑的功能在各密码管理器里有望实现。

国内的做法普遍是把增强安全的 2fa 给砍成降低实际安全性的 1fa，然后强制你下个 app 完成 kpi。

微软可以用 app 点击验证，谷歌输入密码以后也能输入密码点击验证。我还是喜欢谷歌的方式。

Microsoft Authenticator

avast 的密码管理器似乎就是这样的

看见不调查就发言的小白就是烦。
微软、谷歌都有手机认证器，只不过你在国内用不了。
国内的扫码登录即不方便（楼主这种经常需要登录还设置随机超长度密码的算个例外），又不安全，纯粹是为了强制 /欺骗安装 APP 方便获取隐私的“中国特色”东西，能问出来国外为什么少，真想骂人。

@agagega 网银基本还是 2FA 的。

@SharkIng 有可能您被风控，或者手机的 FCM 推送不稳定，Google 认为你的手机不在线，就提示输密码了。这时候网页版登录的左下角有更多选项可以尝试一下。

google 支持的 好么，只要你装了 gps 你 登录 google 的时候，google 会自动发起一条请求，你只要在手机点击确认登录就好了

输入控件出现时有 http 劫持流行且没人管的背景。但 https 普及了还在用，是习惯还是故意就不好说了。

实质是不做（包括做不到）该做的事，把麻烦和责任推给用户 （装完国内银行的控件记得扫一下根证书，可能有惊喜）

人家也有类似的，就是 APP 确认登录，twitter/google 好多家都有
但人家用 google 的推送通知平台，无需后台常驻，国内既不能用 google 通知平台，也不能确保没被杀常驻，只好扫码

@SharkIng 每个国家各有不同 之前在澳大利亚是很严格的 美国这里其实也很严格 像我之前注册个网站 就会查信用数据 问我 2011 年住哪条街 2005 年开了那家银行的房贷 信用卡有几张之类的… 有些自己都不记得得查记录的问题 加拿大确实不清楚

反代密码 vs 扫图不只是安全考量 主要是责任上的考量

国外企业考虑安全问题很多并不仅仅考虑绝对安全 还要考虑责任转移 zz 正确…

@SharkIng 安全控件这个伪科学不论 USB 接口的数字密钥（大陆俗称 U 盾 eKey ）在美国还是有的 但一般给企业使用方法高净值客户也可以申请

作为客户 我没觉得不安全 因为银行值得信赖 这个信赖不是因为安全 而是被偷了银行负不负责任

在澳洲十几年 不止一次不同家银行卡被盗刷 银行一般都在 2-4 周内赔付了 也从来没有为难过我 要提供什么证据 我同事网银被转走二十几万刀 一个星期银行就退还给他了 还特快专递换了所有的卡

国内有 U 盾 有安全控件 但还是一直有网银被盗的事情 所以这些真不是提高安全必需的

至于你更新的问题

据我所知 Yahoo 没有支付服务
Google 有 Google Pay 和 Google Wallet 之类的金融服务

@phy25 想起了，其实现在觉得那玩意挺好的，不过一是不通用，二是设计也不便于携带

@passerbytiny 看见不调查就发言的小白就是烦，我不在国内，谢谢... 我也调查过，Google 实测并不是想要的那种，另外很多网站都不支持，例如 Github, Bitbucket, Facebook, Twitter... 我想您调查过应该还能说出来更多...
我说过，需求不一样，想必 80%的人手机上都有 Google 家 App 或者集成的 Google Play Service， 请问何来“强制 /欺骗安装 APP ”

@phy25 谢谢，公司的网络的确被风控的，有机会换个网络试试

@yuedingwangji 公司网络上实测不行，有可能是楼上说的风控了...

@imn1 请问 Twitter 如何设置？我没有找到对应的地方可以设置的....

@TtiGeR 见过和银行有关的需要这类信用数据的，其他还真不知道。
了解了，如果金融类服务都需要这些监管问题的话也可以理解... 只是觉得这个应该选择权交给用户而不是企业为用户做决定。很多人可以选择不开启这个功能，开启的自行承担后果....

#34
twitter 官方 APP，帐号，安全里面可以设置使用当前 APP 认证，不使用短信（我短信延时 30+分钟，没错，是这个时间），每当有新设备登入，app 就会有一个请求，登录那边出一个等待 APP 通过的页面
如果 APP 没在后台，也可以手动在设置里面查到这个请求的，当然连上 twitter 是前提