为什么国内的网站几乎都不支持 TOTP 验证?

网易邮箱可以设置 totp,别的暂时没遇到过

投入不小风险不小收益不大

程序员以为：我们的网站支持了标准的 TOTP 验证，非常标准
客户认为：什么**玩意，这玩意咋配啊，卧槽我之前配了咋找不着了，就不能给我发个手机验证码么

至于楼里提隐私的…我只能缓缓打出一个问号

短信验证更合适.

目前在用网易 163 邮箱的 TOTP

@totoro625 #3
如果在非强制的情况下，大部分人依然短信或者人脸，那才可以说 “没有隐私的感念”

技术要服从需求，国内没有 TOTP 的需求。因为手机号是都有的，额外增加一个 TOTP 纯浪费人力物力，还要教育客户使用。

QQ 是支持的，玩过腾讯网游的应该都知道手机令牌

TOTP 的密钥掉了真找不回来，怎么办。
另外，主流云厂商都支持了，偏向技术用户的用 TOTP 可能更多。

你的国内网站是指啥，我所了解到的，大部分都是支持 TOTP 的，只不过很多不是强制的

说到 TOTP ，国外现在又掀起了 Passkey ，感觉国内短时间内不会跟上

因为短信也属于 2fa ，和 TOTP 算是一种东西，短信也符合国情

门槛高。totp 前司重度使用过，老是说这个东西有使用门槛，不会用的用户还挺多的。可能 v2 上的老哥觉得这玩意儿根本没啥门槛，但实际上很多用户根本不会用。
验证码软件也良莠不齐。之前某大厂的验证器有兼容问题，升级 iOS 后直接打开会丢数据。
各平台间兼容性一般。多用几个带 totp 的平台，会发现，有些平台直接会覆盖你的另一个现有密钥。丢了麻烦不小。

将军令也是一种 TOTP

提出这个问题说明不是做产品的，另外国外服务更依赖邮箱验证，很多用户不知道 TOTP 是什么。

美国现在其实也不是都支持 2FA 、尤其是银行最近 10 年几乎都改成对短信强依赖了。

TOTP 只是 2FA 的一种手段，对于国内一般用户来说，便利性往往不如手机短信

我们可能算是国内公司的另类吧，毕竟自诩的是数据安全，目标用户也往往是有技术背景的。在我们网站注册的账号，绑定手机号仅作为满足监管要求的手段，不用于用户认证。密码作为主要凭证，用 WebAuthn 做 2FA 。然后每个账号可以绑定一个 GPG key ，重置密码之类的操作需要用这个 key 签名一个请求。如果 GPG key 丢了，你就算拿着身份证到我们公司前台，也不会给你找回账号。

qq 安全中心

还有 TOTP 有相对较高的丢失率，找回难度大，这也导致使用门槛较高，相比较下手机号和邮箱更易找回。

因为产品没想过出海

你要搞明白了这个问题，那你现在的问题自然就懂了：STEAM 为啥要在公版 TOTP 以外，去搞一个要额外绑定手机号的专用 TOTP 。