比如你的 Gmail account,与 Authy app 初始连接时说好一个很长的密码(QR code 扫描),说好后两边就按时间来生产所谓token(6-digit code),每10秒换一次。这个很长的密码Google 那边存一个,你app 这边存一个,两边对上生成的暗号就算 2FA对上了。
6-digit code 算法应该是open source公开的,只有很长的密码(QR code)可能被hack,一个是Gmail 这边,一个是你的mobile app。Authy app 不联网,只有有准确时间就能生成6-digit code.
2FA 最好有2个方法或以上,最好手机丢了也还有办法恢复。
用手机号送code through text message大家都知道,用 Authy app 是另一个方法,不依赖手机号。
我自己还没开始用 Authy,但觉得 Authy 比较符合实际,对消费者用户免费。
