OTP（案例）

上一篇《短信验证码的迷思》后，汇总了一些案例。

Quikr

印度最大的生活类分类信息平台。

勾选通过 OTP（One-Time Passwords）登录，不需要再输入登录名与密码。

Quikr

Quikr 支持电话认证

USAA

服务美国军事人员的金融平台。支持三种方式：

1、基本的密码或PIN（来源于绑定个人信用卡的识别码）。

2、二次验证的手机或cybercode（一次性验证码）。

3、适用于APP的生物识别，包括指纹、脸部与声音。

USAA 组合登录方式

方法1：CyberCode Text

你可以理解为短信验证码。适合有手机，手机短信包月的用户。

每次登录只要用户名、密码与6位数的随机短信验证码。如果手机出了问题，一次性验证码会发到绑定的注册邮箱。

方法2：Quick Logon

适合移动端用户，包括iOS、Android、Windows Phone或 Amazon Fire Phone，安全增强包括了指纹、语言与面部识别，服务来自于 Symantec VIP 双重验证服务。也就是说就算黑客能拿到你的PIN，也需要再拿到你的手机，同时越过赛门铁克家的墙。

方法3：CyberCode Token

你可以理解为PIN+30秒随机验证码（APP密钥）。每次登录都是一个组合后的新密码。APP密钥来源于Symantec VIP 的服务。

CyberCode Token

Token 登录方式

Yahoo

自从帐户泄密事件，Yahoo也开启了两步验证。当用户从新设备登录时，通过发送安全号码到用户手机。

Yahoo 启用两步验证

同时也与APP联动，支持一次性的帐户密钥。

Yahoo 帐户密钥

Apple ID 

双重认证是一种直接内建在 iOS、macOS、tvOS、watchOS 和 Apple 网站中的新服务。它使用不同的方法来对设备授信和发送验证码，而且提供了更为简化的用户体验。要使用一些具有较高安全要求的功能，必须通过双重认证。

开启双重认证后，用户需要使用密码并访问受信任设备或受信任的电话号码才能登录帐户。

1、牢记 Apple ID 密码。

2、所有设备上均使用一个设备密码。

3、确保受信任的电话号码始终为最新号码。

4、确保受信任设备的安全。

Apple ID 双重认证

如果双重认证不适用帐户，Apple 还提供了一种旧式的安全增强功能，称为两步验证。

Apple 两步验证

Facebook

除了设置密码，登录代码或者安全钥匙做二次验证。

1、短信验证码，如果手机遇到问题，就可以使用10个验证码，FB会提醒你打印出现线下保管，这个与苹果14 个字符的恢复密钥差不多，请将如果无法使用受信设备或忘记了密码，就用恢复密钥来重新获取访问权限。

2、安全钥匙，U2F 的USB 或 NFC 安全钥匙。

1）U2F的USB

适合台式机或者笔记本。

跟银行配给我们的U盾不一样，多少张卡多少个令牌，U2F是开放标准，一个设备就可以在所有支持该标准的认证服务。

输入用户名、密码，然后插入Key 触摸一下就可以登录认证了。

FIDO U2F Security Key

2）NFC 安全钥匙

可以理解为非接触式的USB，适合没有USB接口的手机，而且仅 Android。

APP 不支持 NFC安全钥匙登录，但是如果是 Android 手机，安装了最新版 Chrome 和 Google Authenticator 就可以使用该方式，登录后进入触屏版。

Facebook Security Key

3、代码生成器，就是通过 APP 上的代码重置密码或者登录许可验证码。