二次验证码（小程序）是什么？使用体验怎么样？

二次验证码是什么？

二次验证码又叫做谷歌身份验证、双因素验证、两步验证、虚拟MFA、2stp。它是一款在2017年随微信内测出现的小程序产品。用来将平台给到的密钥生成6位数动态认证码的工具，并在必要时可找回丢失密钥。通过此操作可预防别有用心的黑客攻击，极大地提高了平台账户的安全性。

虽然开通二次验证码后，在进行登陆、改密以及交易操作会感觉比之前要麻烦点，电脑二次验证码可以有效抵御黑客攻击却是无可辩驳的事实。

二次验证码使用（对比谷歌身份验证器）

基础功能

关于验证码的增、删、改、方面（查找功能这方面，都没有筛选功能，不作分析。而且除非是绑定了成百上千账号，否则没有查找的必要性。国内暂时也没有太多绑定安全验证的平台，加上个人遇到的可能性不会很大，所有类似的两步验证工具都几乎都没有查找的功能）

对了忘记一个对比：二次验证码是小程序，无需下载；谷歌身份验证器是APP，需要应用商店下载

增

这里指添加密钥生成6位数动态安全码。
二次验证码小程序支持扫码、手动输入密钥两种形式
谷歌身份验证器理论上也支持，但安卓版不支持扫码功能，这是比较麻烦的一点

删

删除多余或不用的验证码。
二次验证码小程序要删除的那个码从最右端左滑，出现删除按钮，删除前提醒先在平台解绑。
谷歌身份验证器需要长按，顶部出现删除按钮，删除时同样先提醒后果

改

密钥添加成功，已经生成验证码后：
二次验证码没有修改功能，只能在添加前可以改；
谷歌身份验证器可以修改账户名称。方法同修改时一样，先长按选中验证码，再修改

总结

二次验证码使用方便，无需下载，微信直接查找即用即开。添加密钥功能相对方便好用（用户一般用的就是这个功能），删除也不费事儿；缺点是添加后无法修改账户名称和备注。

谷歌身份验证器需要下载APP，功能缺陷是安卓端无法扫码添加密钥；删除比二次验证码多操作一步；好的地方是可以修改账户名。

高级功能

二次验证码具备云服务
谷歌身份验证器没有更多服务了

云服务主要功能：找回丢失验证码
深层解释一下，你会觉得用途很大。比如你在丢失手机、更换手机、刷机、移除小程序、清理缓存、误删验证码等情况下，无法登陆账户。很多用户会觉得非常麻烦，甚至绝望。此处云服务就派上用场了，你可以随时找回丢失验证码，微信在则验证码在。上图

二次验证码还有个更好的服务是——有客服入口，这能给到用户更多更好的体验服务。

安全性对比

基础安全

二次验证码验证码算法为RFC6238协议的TOTP算法。黑客破解的话需要大量长时间算法，至今无法破解，加上30秒时间的限制，基本上可以是最安全的了。因此被国际普遍使用。
除了生成验证码的算法，二次验证码因为用到云服务，采用了pbkdf2-sha256十万轮加密以及随机盐。并且服务器上是分布式本地存储➕备份。

这样安全性几乎是无懈可击了，数据库密文展示，即使内部技术研发也无法看到和破解。

谷歌身份验证器同样使用RFC6238协议的TOTP算法。因为没有云服务，就没有额外其他算法及加密技术了。

黑客攻击测试

二次验证码被证实无法被黑客破解；
谷歌身份验证器亦然

总结

安全性上，二者具备一样的安全设定。

终话

总结来说，关于每次使用，二次验证码小程序更加轻便、添加功能也更完善；缺点是无法修改，但比较起添加服务，这个优先级上没有更小些；谷歌身份验证器添加功能弱一些，但可以修改账户。

二次验证码有云服务，谷歌身份验证器没有。如果想要更加方便、高效地使用，还是二次验证码小程序更加好用些。

安全方面，谷歌身份验证器和二次验证码都采用RFC6238协议的TOTP算法，由于多出云服务，二次验证码花费了更多的费用在数据库安防算法及加密验证，并斥资进行本地服务器分布式存储和备份，来使它的安全性更高，更无懈可击。

综合来讲，还是打算支持国产，使用二次验证码小程序，毕竟也是经过3年多的用户磨合，在微信小程序内测时期就出的安全类产品。你们这边有更好的同类应用吗，留言告诉这里，共同探讨学习安防知识。