主要观点：Multi-Factor Authentication 中常用扫描二维码共享密钥的方式，TOTP 未被妥善标准化，存在多种边缘情况及应用差异，规范未与时俱进，各大安全厂商未合力制定正式完整规范。
关键信息：

• 文中展示了一个极不安全的一位数 TOTP 代码及相关应用的处理情况，如 Aegis、1password、BitWarden 等接受，Authy、Google Authenticator、OpenOTP 拒绝，iOS 原生应用等误解。
• 讨论了一位数和 128 位数代码的合理性及规范的滞后性。
• 提到有收紧 TOTP 规范的草案提案已过期，各大安全厂商在规范实施上存在分歧。
  重要细节：
• 共享密钥为abcdefghijklmno，代码有效期 120 秒，长度为 1 位。
• 各大安全厂商如 Google 已归档其认证标准工作，Apple 指向 Google 过时规范，YubiCo 兼容规范 4 年未更新，openauthentication.org 十年未发布，Microsoft 无相关文档。