华为云的也是这么麻烦的，一堆资料提交上去了，终于解绑了。。。

@dingwen07 也不必抓包，桌面端的 WinAuth 就有完整的代替 Steam 手机令牌的功能（可以直接在电脑上假装手机绑定 Steam 令牌，现在还支持交易确认），然后通过它导出 secret ，添加到手机端的第三方生成器里就可以了。

@nothingistrue 微软 Authenticator 不完全是标准 TOTP 工具，还提供了微软一键认证（无密码登录）的功能，TOTP 只是顺带附带的。谷歌身份验证器现在也不太推荐使用了，主要是备份比较麻烦，而且谷歌自己现在也不主推这个 2FA 软件（谷歌账号现在需要先绑定其它 2FA 才能加绑 TOTP 为可选 2FA 登录选项）。

手机端标准 TOTP 2FA 更推荐一些开源软件，例如 Android 平台的 AndOTP 或者 Aegis Authenticator ，这些都标配导出加密备份的功能。

Keepass 的 TOTP 插件也支持 Steam ，基本用就能 Keepass+微软 Authenticator 保证便捷性和安全性

bitwarden 也支持 Steam TOTP

@mytsing520 #10
Steam 可以用抓包导出，部分第三方生成器支持 Steam 的代码，比如 Yubico Authenticator


@nothingistrue #11
目前来讲最有效的 2FA 是 WebAuthn

解绑 MFA 这种重量级操作进行流程严格也没什么问题吧，如果很简单被别人利用了，那安全性不是更差

可是 RAM 用户登录必须启用 MFA 或 U2F ，很操蛋

@mytsing520 #10 STEAM 真不要开客户端 2FA ，那玩意的主要目的不是 2FA ，是防止账号共享，老老实实用邮件 2FA 最靠谱。

实际上，不要轻易尝试任何没有备用解锁手段的 2FA 。开 2FA 的时候，给你的备用解锁手段，或者二维码，或者二维码代表的 Code 信息，一定要保存好，丢失了你就只能哭。如果上面的东西都丢失了，服务商还能让你轻易解锁账号，那这服务商肯定不靠谱。不开 2FA ，或者用短信验证做 2FA ，本质上是用安全性换易用性，重要账号不能这么干。

目前最有效的 2FA 工具，是标准 TOTP 工具，例如 Keepass + Tray TOTP 插件，用这些工具再加上适当的备份措施，能让你安心的用任何标准 TOTP 方式的 2FA 验证。很有效并且还很方便的 2FA 工具，那就只有微软 Authenticator 、谷歌身份验证器，不考虑平台通用的话还可以加上苹果钥匙串。这三个大厂有很多备用方式能够定位到“你就是你”，当客户端丢失之后会让用户在找回来。小厂通常没办法定位“你就是你”，客户端丢了就丢了很难找回来（或者能随便找回来这样就没安全性了）。而像阿里这样的国内大厂，投广告防爬虫的时候，能有海量的数据定位到“你就是你”，儿童误消费退款、账号解锁的时候，或者任何处理仅对用户有利的情况的时候，哪些数据就集体失效了。

像 STEAM 这种强关联 MFA APP 的才难搞

所以我是在 Authy 上绑定的阿里云的 MFA ，只要 Authy 不倒闭就可以用。至于阿里云 APP 上要做 MFA 校验，那就直接打开 Authy 取那边的值就行，虽然麻烦点

触屏失效可以 otg 接鼠标操作

因为这种操作就是卡流程，他并不能真实校验什么，赌的就是信息获取难度。

与之相反的是形同虚设的 ip 限制。。。。。。。。。偶尔可以大部分时间我发现还是随便登陆。。只被卡过一两次。。。

如果是企业账号千万别吧手机号弄丢了。
别问我怎么知道的，搞了个几乎闭环的流程，提交一堆资料。

不要用阿里云 app 去绑定，换谷歌或者微软的双因素验证 app 体验更佳，还能网络云备份。

体验过啦！烦到想砸电脑。

昨天申请的工单回复了。
“解绑账号 mfa 吗？查看您的账号为企业实名认证，需提供：
1 、最新的工商营业执照副本原件的照片（请一定拍照上传，扫描件不支持受理）；
2 、《变更账号安全信息申请函》见附件，经办人签字按手印，加盖单位盖章；（请一定拍照上传，扫描件不支持受理）
”

~~~ 以后还是短信验证好了。

才知道这么麻烦

还好阿里云 MFA 是通用的，设置的时候可以把二维码图片（或者扫描出文本）备份起来，下次换设备直接扫就好了