这是一个创建于 2193 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在很多人密码都是随机密码,然后用类似 1Password 存储
能支持一些 OAuth 登录的网站不说,已知好像只有 Yahoo 这个祖宗级网站支持一个叫做 Account Key 的登录方式,输入帐号后通过手机端 Yahoo App 能够一键认证
那么为什么例如 Twitter, Google 这些网站不支持类似的一键登录呢?或者是国内比较流行的扫码登录
第 1 条附言 · 2018-11-08 05:05:08 +08:00
(又一次输入了 15 位随机密码登录上 V2 为了加点想法)
我的使用场景应该不少见,公司电脑或者外面(如酒店商务中心或图书馆)的电脑需要登录一些其实并不一定会经常登录但是时不时需要登录一下的服务。
现有做法只能是,看着手机的 1Password,一个一个输入,不好操作,还容易错。输入错一次要重来,有些网站可以显示密码,有些不行。
其实不一定讨论扫码登录,一键认证也可,Yahoo 的做法就觉得很可行
1. 打开雅虎网站
2. 输入用户名,不需要输入密码
3. 弹出使用手机端 (如下图)
4. 在手机端确认,登录完成
这样做的好处就是不需要在公共电脑上输入复杂且非常长的密码。那么为什么 Yahoo 可以做,而且会这么做,Google 不行呢?
我的使用场景应该不少见,公司电脑或者外面(如酒店商务中心或图书馆)的电脑需要登录一些其实并不一定会经常登录但是时不时需要登录一下的服务。
现有做法只能是,看着手机的 1Password,一个一个输入,不好操作,还容易错。输入错一次要重来,有些网站可以显示密码,有些不行。
其实不一定讨论扫码登录,一键认证也可,Yahoo 的做法就觉得很可行
1. 打开雅虎网站
2. 输入用户名,不需要输入密码
3. 弹出使用手机端 (如下图)
4. 在手机端确认,登录完成
这样做的好处就是不需要在公共电脑上输入复杂且非常长的密码。那么为什么 Yahoo 可以做,而且会这么做,Google 不行呢?
第 2 条附言 · 2018-11-08 05:12:22 +08:00
Google 有这么个东西 https://support.google.com/accounts/answer/6361026?co=GENIE.Platform%3DAndroid&hl=en
但是好像只能用于确认 2FA 上,密码还是需要输入
但是好像只能用于确认 2FA 上,密码还是需要输入
第 3 条附言 · 2018-11-13 05:07:08 +08:00
- 不是很理解一上来吐槽 App 登录就是 “强制 /欺骗安装 APP ” 怎么想得?这只是附加功能,你可以不用,也可以用,纯属自愿,何来强制?
- 国内很多淘宝啊什么的都支持这种扫码登录,我一个没用过,因为不需要,也不愿意被 “强制 /欺骗安装 APP ”,但国外的不同,很多国外 App 还是有信誉可言的。
- 我只是说这种功能实现起来应该没有技术瓶颈,那么既然有公司在做,为什么不通用或者不流行?除了安全问题以外,还有没有别的考虑因素在?
- 不要把核心放在扫码登录上,那只是一个例子,更多可以讨论 Yahoo/Hotmail 的那种登录形式...
- 国内很多淘宝啊什么的都支持这种扫码登录,我一个没用过,因为不需要,也不愿意被 “强制 /欺骗安装 APP ”,但国外的不同,很多国外 App 还是有信誉可言的。
- 我只是说这种功能实现起来应该没有技术瓶颈,那么既然有公司在做,为什么不通用或者不流行?除了安全问题以外,还有没有别的考虑因素在?
- 不要把核心放在扫码登录上,那只是一个例子,更多可以讨论 Yahoo/Hotmail 的那种登录形式...
 |
1
Syaoran 2018-11-08 02:59:30 +08:00 via Android  6
不觉得在电脑上登录还要手机操作很 sb 么……
|
 |
2
sinv 2018-11-08 03:05:41 +08:00 via iPhone 1
不严谨的说,可以把手机看成独立的密钥设备,比如 U 盾,只不过区别于 U 盾通过 USB 连接电脑,手机是通过图像识别连接电脑。
这比喻真尴尬…… |
 |
3
autoxbc 2018-11-08 03:14:30 +08:00 1
有 Google Authenticator
|
 |
4
RqPS6rhmP3Nyn3Tm 2018-11-08 03:29:35 +08:00 via iPhone
各家 otp 实现方法不同,但总体上大同小异,rfc 我记得有相关规定
既然有足够通用的 otp,为什么要一个新的私有 2fa 应用? (实名批判 steam 使用的私有验证 app |
|
5
RqPS6rhmP3Nyn3Tm 2018-11-08 03:31:20 +08:00 via iPhone 1
哦抱歉理解错了,以为你说的是电脑端微信的扫码登录
其实 oauth 用的也不少,最多的就是 fb 和 g |
 |
6
Valyrian 2018-11-08 03:41:17 +08:00 10
扫码登录只是国内网站骗你装 app 而已
|
 |
7
SharkIng OP @Syaoran 使用需求不一样
我上面可能没说清楚,如果一定需要在一个非自己的电脑登录比如 Gmail 的时候,现在的做法只能是 1. 手机打开 1Password 2. 电脑上一个一个输入长达 20 甚至更多字符的密码 如果能够手机确认的话 (例如现在 Yahoo 做法)那么就变得简单很多了 1. 手机打开 Yahoo 按一个键,登录成功 @autoxbc @BXIA 我需要的不是 2FA,是一个能帮助输入密码的东西,在一个非自己的电脑上。而且这种需求对我来说很大 当然可以 argue 说把密码设置的简单点然后用 2FA 增加安全性。但我觉得实际上这是把 2FA 的双层安全性降低了 @sinv 其实可以这么说,Yubikey 的 Security Key 据说已经支持免密码登录了 @Valyrian 不可否认一定程度上满足了我的需求。 |
 |
8
TtiGeR 2018-11-08 04:28:02 +08:00 via iPhone 3
我原来在某外资银行工作
客户体验部门几次提出要增加扫图登陆 但安全和法务一直不认可 这里面主要有责任的考虑 比如说某银行网站被反代 你输入用户名密码是你没有仔细查看网址的责任 手机扫图后代替你登录的话 App 也有部分责任了 (未能识别出图片被反代了 虽说技术上难以区分) 另外是使用习惯上的差异 二维码整体在国外就不流行 在欧美国家大街上看到的二维码 绝大多数都是微信公众号 微信支付之类针对中国游客的 外国人用二维码的比较少 当然 Walmart Pay 之类的也是有的 但都是动态生成显示在自己的结账设备上的 风险可控 |
|
9
TtiGeR 2018-11-08 04:34:12 +08:00 via iPhone 2
另外 Gmail 就可以用手机客户端一键确认代替 2FA
但是主密码还是要在桌面端先输入的 不然手机遗失了 对方就可以无密码上你账号了 安全 隐私 责任 这些问题一涉及到财产 在国外就特别麻烦 各种监管要求很多 动辄被罚款 所以多数公司还是小心谨慎的 |
 |
10
LxExExl 2018-11-08 04:44:06 +08:00 1
智能手机也没那么普及吧
我之前实习的时候公司里面有年纪大的人都是翻盖手机 |
|
11
SharkIng OP |
 |
12
phy25 2018-11-08 05:33:45 +08:00 via Android 1
你发的“ Google 的东西“并不是 2FA,就是 1FA 手机登录的。这方面他们似乎还是更安全才更好的设计。
|
|
14
phy25 2018-11-08 05:47:01 +08:00 via Android 1
|
 |
16
yuikns 2018-11-08 06:31:45 +08:00
@TtiGeR 今年下半年我这儿突然流行了滑板车,貌似是扫码的。https://itunes.apple.com/us/app/lime-your-ride-anytime/id1199780189 感觉和国内的 ofo 看齐了。
@SharkIng 感觉美国金融要严格一些。快速转钱还是这一两年才开始的,之前转个钱大概要一周,所以相对来说风险控制可能要好点... 同时消费者比较讨厌 U 盾,插件什么的。同时,从政治正确上说,银行要是强制必须 IE 登录,那么被喷垄断恐怕是必然的。哪怕在学校里面,人家爱用啥机器用啥机器,根本说不得。 但同时,据我所了解,无论 boa,discover,chase 或者其它什么银行,没有事先报备,异地登录必然触发各种 check,"也就是最近一年才有部分银行引入了手机短信二次验证"这个我感觉好像很久前就会被短信或者语音或者 email double check 吧。 |
|
17
SharkIng OP @yuikns 可能加拿大和美国还是不一样吧,虽说我觉得理论讲应该事差不多的,毕竟 TD 之类的在美国也有分行,不应该会去搞两治吧?
异地登录的 Check 的确也有,但是总体没有想象中那么严格。U 盾和安全控件没有,感觉完全缺少了安全性。不过说垄断等问题也是一个因素吧。 转钱是很慢,不过理论讲没谁会天天去查账户里钱时不时少了的,有些银行有邮件通知,但不是全有。短信二次验证也是 TD 今年才有的,其他四大好像都没有。 |
 |
18
agagega 2018-11-08 07:45:17 +08:00 via iPad
国内我就基本没见着有正经 2FA 的网站,最多短信,直接验证码登录 1FA 倒是不少,密码都被弱化了
|
 |
19
dbw9580 2018-11-08 08:06:31 +08:00 via Android
Android Pie 加入了蓝牙 HID profile,从手机上通过蓝牙发送密码到电脑的功能在各密码管理器里有望实现。
|
 |
20
chinvo 2018-11-08 08:11:48 +08:00 via iPhone
国内的做法普遍是把增强安全的 2fa 给砍成降低实际安全性的 1fa,然后强制你下个 app 完成 kpi。
|
 |
21
whwq2012 2018-11-08 08:13:08 +08:00 via Android
微软可以用 app 点击验证,谷歌输入密码以后也能输入密码点击验证。我还是喜欢谷歌的方式。
|
 |
22
mmdsun 2018-11-08 08:40:19 +08:00 via Android
Microsoft Authenticator
|
 |
23
huclengyue 2018-11-08 08:43:46 +08:00 via Android
avast 的密码管理器似乎就是这样的
|
 |
24
passerbytiny 2018-11-08 09:01:57 +08:00
看见不调查就发言的小白就是烦。
微软、谷歌都有手机认证器,只不过你在国内用不了。 国内的扫码登录即不方便(楼主这种经常需要登录还设置随机超长度密码的算个例外),又不安全,纯粹是为了强制 /欺骗安装 APP 方便获取隐私的“中国特色”东西,能问出来国外为什么少,真想骂人。 |
|
26
phy25 2018-11-08 09:50:50 +08:00 via Android
@SharkIng 有可能您被风控,或者手机的 FCM 推送不稳定,Google 认为你的手机不在线,就提示输密码了。这时候网页版登录的左下角有更多选项可以尝试一下。
|
 |
27
yuedingwangji 2018-11-08 09:54:10 +08:00 via Android
google 支持的 好么,只要你装了 gps 你 登录 google 的时候,google 会自动发起一条请求,你只要在手机点击确认登录就好了
|
 |
28
momocraft 2018-11-08 10:01:50 +08:00
输入控件出现时有 http 劫持流行且没人管的背景。但 https 普及了还在用,是习惯还是故意就不好说了。
实质是不做(包括做不到)该做的事,把麻烦和责任推给用户 (装完国内银行的控件记得扫一下根证书,可能有惊喜) |
 |
29
imn1 2018-11-08 10:26:27 +08:00
人家也有类似的,就是 APP 确认登录,twitter/google 好多家都有
但人家用 google 的推送通知平台,无需后台常驻,国内既不能用 google 通知平台,也不能确保没被杀常驻,只好扫码 |
|
30
TtiGeR 2018-11-08 10:38:17 +08:00 via iPhone
@SharkIng 每个国家各有不同 之前在澳大利亚是很严格的 美国这里其实也很严格 像我之前注册个网站 就会查信用数据 问我 2011 年住哪条街 2005 年开了那家银行的房贷 信用卡有几张之类的… 有些自己都不记得得查记录的问题 加拿大确实不清楚
反代密码 vs 扫图不只是安全考量 主要是责任上的考量 国外企业考虑安全问题很多并不仅仅考虑绝对安全 还要考虑责任转移 zz 正确… |
|
31
TtiGeR 2018-11-08 10:46:30 +08:00 via iPhone
@SharkIng 安全控件这个伪科学不论 USB 接口的数字密钥(大陆俗称 U 盾 eKey )在美国还是有的 但一般给企业使用方法高净值客户也可以申请
作为客户 我没觉得不安全 因为银行值得信赖 这个信赖不是因为安全 而是被偷了银行负不负责任 在澳洲十几年 不止一次不同家银行卡被盗刷 银行一般都在 2-4 周内赔付了 也从来没有为难过我 要提供什么证据 我同事网银被转走二十几万刀 一个星期银行就退还给他了 还特快专递换了所有的卡 国内有 U 盾 有安全控件 但还是一直有网银被盗的事情 所以这些真不是提高安全必需的 |
|
32
TtiGeR 2018-11-08 10:48:27 +08:00 via iPhone
至于你更新的问题
据我所知 Yahoo 没有支付服务 Google 有 Google Pay 和 Google Wallet 之类的金融服务 |
|
34
SharkIng OP @passerbytiny 看见不调查就发言的小白就是烦,我不在国内,谢谢... 我也调查过,Google 实测并不是想要的那种,另外很多网站都不支持,例如 Github, Bitbucket, Facebook, Twitter... 我想您调查过应该还能说出来更多...
我说过,需求不一样,想必 80%的人手机上都有 Google 家 App 或者集成的 Google Play Service, 请问何来“强制 /欺骗安装 APP ” @phy25 谢谢,公司的网络的确被风控的,有机会换个网络试试 @yuedingwangji 公司网络上实测不行,有可能是楼上说的风控了... @imn1 请问 Twitter 如何设置?我没有找到对应的地方可以设置的.... @TtiGeR 见过和银行有关的需要这类信用数据的,其他还真不知道。 了解了,如果金融类服务都需要这些监管问题的话也可以理解... 只是觉得这个应该选择权交给用户而不是企业为用户做决定。很多人可以选择不开启这个功能,开启的自行承担后果.... |
|
35
imn1 2018-11-13 23:27:30 +08:00
#34
twitter 官方 APP,帐号,安全里面可以设置使用当前 APP 认证,不使用短信(我短信延时 30+分钟,没错,是这个时间),每当有新设备登入,app 就会有一个请求,登录那边出一个等待 APP 通过的页面 如果 APP 没在后台,也可以手动在设置里面查到这个请求的,当然连上 twitter 是前提 |
Select Language