系统二次验证大佬们有什么解决方案吗?

• 資深大佬 : no1xsyzy

  TOTP 现在 Google Authenticator 是 de facto 了吧
  除此以外就是 OOB，短信发送代码

  具体要求参考 NIST 2017 年版的标准指南，Section 5
  https://pages.nist.gov/800-63-3/sp800-63b.html#sec5

• 資深大佬 : dingwen07

  SMS/电话 国内可靠，国外不可靠，SIM Swap 分分钟破掉
  TOTP/HOTP 需要安装软件，如 Google Authenticator 或 Microsoft Authenticator
  WebAuthn 需要 FIDO 安全密钥
  Yubico OTP 需要 YubiKey，很贵
  也可以开发一个手机端 app 进行推送或者集成 Duo Security 的解决方案

• 資深大佬 : dingwen07

  对了还有一种 TOTP/HOTP 物理令牌，类似银行那种会显示数字，每隔一段时间或者按压按钮更新的

• 資深大佬 : jinliming2

  安全性要求高的，还可以使用 TLS 双向认证的方案。必须在安装了数字证书的浏览器上才可以正常访问。
  或者像一些银行之类的是把证书放在物理 U 盾里定期更新，配合 U 盾驱动免去装证书的麻烦。
• 資深大佬 : q197

  @dingwen07 查了以下 SIM Swap，怎么会有这么坑的运营商，手机号随随便便就补办的意思？

• 資深大佬 : passerbytiny

  首先，“这种看到某些特定界面的时候要求二次验证”的验证，是高安全场所下的“重新验证”，只需要使用原本的认证方式——密码或扫码——即可。它需要的是重新验证一次原来的认证，而不是额外验证其他的认证（这句话中的两个认证，都是名词）。上霹雳啪啦那一堆回复，说得是两步认证，很有可能不是主想问的场景。

  然后，单纯的两步认证的话，TOTP 是最简单也是最可靠的两步认证方式。短信验证只是最省事的方式，但既不简单也不可靠，一般国外大厂都是拿短信验证做辅助或者三步认证。

  最后纠正一下上的谬论，TOTP 是一种算法，不依赖任何工具，不被 Google Authenticator 或 Microsoft Authenticator 绑定，有很多工具都可以用来支持 TOTP 。

• 資深大佬 : passerbytiny

  补一个 TOTP 的资料，文章后面还有更原始的引用。https://studymakesmehappy.club/posts/%E4%B8%A4%E6%AD%A5%E9%AA%8C%E8%AF%81%E5%99%A8%E6%98%AF%E5%A6%82%E4%BD%95%E5%B7%A5%E4%BD%9C%E7%9A%84/

• 資深大佬 : lc7029

  用 rsa 令牌，类似银行那种，每分钟生成一个动态密码