
#如果你对比一下国内和海外平台的二次验证普及情况差距很明显。海外主流平台Google、GitHub、微软已经把 2FA 推到强制或半强制状态。国内平台社交媒体、电商、云存储大部分仍然停留在短信验证码甚至有的连短信都没有。这不是技术问题。TOTP 是公开国际标准国内平台接入的成本跟海外平台一样低。差距在别处。平台层面商业优先级排不上对国内平台来说账号安全是一个「重要但不紧急」的需求。平台的产品经理优先级列表里排在 2FA 前面的是新功能上线、用户增长、商业化变现、AB 测试。因为 2FA 的收益是不出事不是多赚钱。海外平台经历过更密集的监管压力和用户诉讼。Google 被 GDPR 罚过、微软被 Storm-0558 事件打击过、GitHub 被供应链攻击逼过——每件事都在倒逼他们把安全功能做进主线。国内平台的监管聚焦在内容合规和隐私保护账号安全的优先级天然排在后面。用户层面习惯和认知断层国内普通用户对TOTP“验证器”2FA这些概念几乎没有接触。不像海外有长期的 Authy、GA 使用教育。对很多国内用户来说安全就是设个复杂密码——而密码管理器在国内的渗透率同样极低。另外用户对下载一个专门的验证器 App有天然抗拒——又要装新东西、又要学怎么用。这是 2FA 在国内用户侧渗透慢的核心原因。好在现在在国内开始有微信生态下的小程序方案可以选择进一步降低了使用和维护成本。比如「二次验证码Free2FA」不需要下载 App、不需要 Google Play、可以云备份、可以跨设备使用基本满足国内用户的日常使用需求可惜目前知道的人还不多。行业层面缺少安全事件的推动力海外每一次大规模数据泄露或供应链攻击都会带来一波 2FA 的普及潮。国内同类型的安全事件虽然也有但公众关注度和媒体传播力度远不如海外。没有足够的血泪教训作为推手2FA 在国内仍然是安全圈的自嗨。平台不强制用户不主动——死循环。未来普及如何改善真正有效的是两个推手平台强制 降低门槛。平台强制已经有苗头了——阿里云、腾讯云、华为云都有 MFA 条件策略可用部分学校的 VPN 已经在推动态令牌。降低门槛的方向也很明确微信小程序做 TOTP零下载成本。这两个趋势叠加国内 2FA 的普及节奏会在未来两三年明显加快。