这是一个创建于 604 天前的主题,其中的信息可能已经有所发展或是发生改变。
凉心云国内账号绑定 MFA 有些仅有微信小程序一种绑定方式,使得每次登录管理账号的步骤很烦:
掏出手->解锁->打开微信->"➕"->扫一扫->对焦->"叮"->正在跳转->"123456"( TOTP 展示)->"123456"(敲键盘)。
尽管设置了七天扫描一次,但架不住两三台电脑上都得登,会话一过期就得在每台电脑重复一遍上面的流程。
迫于太繁琐,准备自己尝试搞一下 seed-code ,看到站内刚好有讨论,后来发现国际版直接允许使用第三方的虚拟 MFA 了,并且也不提供微信小程序绑定,很难不觉得是双标。
国内版客服给出的回复:
1.您好,确实非常抱歉给您带来了不便,目前腾讯云这边虚拟的 MFA 设备是由腾讯云助手小程序承载,所以是需要具备微信的。
2.确实非常抱歉,国际站建议您这边可以去咨询下国际站的客服,但是目前在咱们这边是需要有微信的
如果说出于保护账户安全的目的,小程序引入了一种牛 x 的身份验证机制那也行,可明明就一个标准 TOTP ( RFC 6238 ),何必非得强制绑定你微信小程序。
你这不是欺负老实人吗?
站内帖: https://www.v2ex.com/t/815086
国内版: https://cloud.tencent.com/document/product/378/55649
国际版: https://www.tencentcloud.com/zh/document/product/378/32528
截图为证,含地址栏完整网址:
第 1 条附言 · 2023-03-17 14:21:31 +08:00
@PabloZhong #17
PM 更新了进展和解决方案:目前可申请内测,很快将全量支持
PM 更新了进展和解决方案:目前可申请内测,很快将全量支持
 |
1
guoshim 2023-03-17 00:59:48 +08:00
能当外宾还是得当外宾。
|
 |
2
kingfalse 2023-03-17 01:23:00 +08:00 via Android  3
中国人专骗中国人,往大了说叫闭环,叫生态。
|
 |
3
AlphaTauriHonda 2023-03-17 04:49:04 +08:00 via iPhone
他就是要专门恶心你。
|
 |
4
billgong 2023-03-17 05:47:26 +08:00
呃绑定一个云端生成 OTP 的应用严格意义上来讲不算是 MFA 吧,毕竟第二因素( something you have )和第一因素( something you know )没有区别
第一因素密码泄漏,微信账户使用泄漏后的密码登录,第二因素也就泄漏了,就不能算是 something you have 了。到最后 knowledge possession inheritance 只实现了第一个,不算 MFA 嘛 |
 |
5
ltkun 2023-03-17 05:49:31 +08:00 via Android
关键为啥用良心云呢
|
 |
6
0o0O0o0O0o 2023-03-17 07:34:01 +08:00 via iPhone
昨天也被这个恶心到
|
 |
7
xuanbg 2023-03-17 07:57:46 +08:00
凉心好评
|
 |
8
cnfczn 2023-03-17 08:03:44 +08:00 via Android
腾讯是为了强推他的弱智圆形二维码,而且目前看还是只有腾讯周边的东西在用。
|
 |
9
lovelylain 2023-03-17 08:05:21 +08:00 via Android
国内不需要键盘输入吧,绑定微信,开通 MFA 也用同一个微信账号,登录的时候这个微信扫码登录,再手机上确认登录。
|
|
10
0o0O0o0O0o 2023-03-17 08:58:22 +08:00 via iPhone
@jobmailcn 微信被封号咋办…
|
 |
11
buxiaozisun 2023-03-17 09:12:48 +08:00 via Android
开通的时候可以去浏览器开发者那边找到 totp 密钥,就可以加到其他地方了
|
 |
12
livenpc OP @jobmailcn 需要手动输入,微信扫码后只是跳转到小程序"腾讯云助手"的一个名为"虚拟 MFA"子页面,甚至连长按复制都没提供。如图:
 |
 |
13
nothingistrue 2023-03-17 09:42:15 +08:00
听起来像是微信要做一个对比 Microsoft Authenticator 或 Google Authenticator 的东西,但是技术水平不够,做不了既能脱离服务器做 MFA 应用又能连上服务器做同步密钥的东西,就简简单单弄一个云端虚拟 MFA 应用。这样糊弄出来的玩意,当然是没人愿意用得,当然就只能苦一苦内宾了。
|
 |
14
Citrus 2023-03-17 09:47:06 +08:00 via iPhone 1
其实不是云端虚拟 MFA ,就是把种子下发到本地。抓包把种子抓下来就行了,很简单。
|
|
15
livenpc OP @nothingistrue 微信小程序做的烂也就算了,关键是国内版用户没别的选,这才是最恶心的。
|
 |
16
PerFectTime 2023-03-17 10:11:29 +08:00
哈哈哈隔壁不是有 PM 吗?拉过来问啊
|
 |
17
PabloZhong 2023-03-17 11:12:36 +08:00 2
@PerFectTime
正好我在。内部看了下,马上可以全量支持 google mfa 和微软 mfa ,当前也可以申请开白提前体验。 |
|
18
0o0O0o0O0o 2023-03-17 11:17:31 +08:00 via iPhone
@PabloZhong 在 V2EX 反馈真的管用(
|
 |
19
summer2019 2023-03-17 11:21:24 +08:00 via iPhone
我是直接抓包小程序,把 TOTP 密钥抓出来了。。。
然后加到微软 Authenticator 里了 这设计属实是弱智 |
|
20
PabloZhong 2023-03-17 11:41:36 +08:00
@summer2019 要不一块来聊下这块的设计建议呗:)
|
 |
21
joejhy 2023-03-17 12:03:05 +08:00
这个你可以找腾讯云的售后处理,之前我也搞过,一个工单建立桥梁,妥妥地,授权给他们去迁移就好啦~
|
 |
22
lhbc 2023-03-17 12:20:41 +08:00
@PabloZhong 支持 security key(比如 YubiKey)吗?
|
 |
23
lovesky 2023-03-17 12:31:57 +08:00
这个设计确实太恶心了,我上周也刚体验过。建议尽快支持使用第三方 app 。
|
 |
24
j20001112 2023-03-17 12:44:31 +08:00
@PabloZhong 国外大学德勤会计事务所都是用的 duo mobile, 2FA 验证的时候直接发送一个 push 推送到 手机和手表, 推送长按就可以选择拒绝或者允许. 手表无需长按推送就能直接选择拒绝或者允许, 整个过程不需要 0.2 秒就能完成 https://images.app.goo.gl/AkvytZ8L4rwMy9Xi8 https://images.app.goo.gl/6hCJFgvkweoQMNQx9
|
 |
25
blessingsi 2023-03-17 13:02:14 +08:00
理解不了为啥会有这种行为。
产研付出了更多的研发成本(而且做这个功能的人和腾讯云小助手大概率不是一个团队),客服付出更多人力时间去擦屁股,用户得到了更差的产品体验。那么到底谁获益了呢? |
 |
26
kkk123 2023-03-17 13:25:10 +08:00
|
 |
27
liuxu 2023-03-17 13:33:08 +08:00
怎么说呢,不喜欢就别用,等客户流失率达到一个级别,他们自然就重视去掉了
顺便说下腾讯云账号用 qq 账号密码登录要点几下才能看到登录框你们都知道的吧 |
 |
28
mooyo 2023-03-17 13:37:00 +08:00
totp 有非常标准的方案,按照规范用 secret code 生成一个 URL ,然后转成二维码,auth app 扫码就能接入了。开发周期远小于搞个小程序。只能理解成纯粹的恶心人了。
|
|
30
livenpc OP @blessingsi #25 所有扫码登录的 APP ,结果都不可避免的抬高了 DAU 数据,即便最初的目的不是这个。
|
|
31
mooyo 2023-03-17 14:32:23 +08:00
@blessingsi #25 虽然人力成本和用户体验变差了,但是小程序的数据变好看了,下个晋级周期就能晋级了。
|
|
32
mooyo 2023-03-17 14:33:06 +08:00
@blessingsi #25 具体到个人来讲他并不承担增加的成本,也不 care 用户体验,但是数据的增长和自己的绩效晋升都是密切相关的。
|
 |
33
vibbow 2023-03-17 14:48:16 +08:00
我就是因为这个非标的 MFA 放弃了腾讯云...
每次登录还得拿手机,太麻烦了 |
|
34
livenpc OP 题外话:昨天第一次用 passkey ,在 cloudflare ,体验海星。不知道大厂们跟进的意愿有多强
|
 |
35
kaddusabagei38 2023-03-17 15:30:46 +08:00
@PabloZhong #17 你内部部署啥呢?最开始我记得那个 mfa 验证码就是 totp 的,我现在腾讯云还在用 google 验证器,你现在把这功能收回去了又打开,还说要内测,就在这硬玩是吧?你们也知道你们自己做基础设施的,结果啥玩意都绑定微信,就凭贵司微信乱封号那股劲儿,你自己想想是那么回事么?
|
|
36
kaddusabagei38 2023-03-17 15:31:19 +08:00
不想做咱们可以不做,不想玩咱们可以不玩,直接发邮件告诉用户我是你爹不就行了
|
|
37
kaddusabagei38 2023-03-17 15:38:55 +08:00
我甚至可以把话放在这,你们这功能半年之内肯定上不了
|
 |
38
ThreeK 2023-03-17 15:56:46 +08:00 1
每次看到这种双标就恶心,外国公司单独对中国产品不召回就算了,毕竟可能敌对。国内公司还搞自己人。
放欧盟早给你罚死了。国内还在这狡辩个没完。 |
 |
39
FightPig 2023-03-17 15:58:34 +08:00 1
腾讯云登录真 tm 恶心的,以前绑定的用 qq 登录,现在好了,一用 qq 登录就让我打开手机 qq 点确认,以为一次就行了,结果 没两三天就要一次,说什么不安全,
|
 |
40
luojianxhlxt 2023-03-17 16:48:23 +08:00
@PabloZhong #17 请问如何申请内测
|
 |
41
liuleixxxx 2023-03-17 17:06:15 +08:00
@luojianxhlxt 去提工单就好了
|
 |
42
gogogo2000 2023-03-17 17:33:26 +08:00
@vibbow MFA 本身是标准的 TOTP ,就是恶心你不给你 key ,所以无法直接绑定第三方的。实际上可以在微信上扫那个小程序码时抓包,其中就有 totp 的 key ,填到第三方里面去就可以搞定了。
|
|
43
livenpc OP tx 云国内版账号想要绑定第三方 MFA(TOTP)的解决方案(这不是本帖重点)目前有三个:
1. 自己抓包,获取 seed-code 2. 发起工单,申请内测 3. 等正式版更新 |
|
44
summer2019 2023-03-18 09:05:13 +08:00 via iPhone
@PabloZhong 像阿里云一样,直接给一个标准的 TOTP 步骤就足够了。毕竟阿里云也没限制只能用客户端获取验证码。
而且腾讯云小程序用的,归根到底就是标准的 TOTP ,到头来整个微信专属二维码,还是恶心了用户 |
|
45
summer2019 2023-03-18 09:12:34 +08:00 via iPhone
@PabloZhong 如果实在不想搞 TOTP ,那搞一个类似于微软的二步验证,体验也还不错。
直接让小程序弹一个通知,点进去选择电脑屏幕对应的数字,直接就能批准。 一来不用先点微信再进小程序再点 MFA 菜单,方便, 二来也确实标新立异得有理有据,不至于让人骂。 |
Select Language