这是一个创建于 374 天前的主题,其中的信息可能已经有所发展或是发生改变。
看了那个丢了 2FA 的帖子,貌似用了常用的手机,一些回帖好像也用的常用手机!
甚至有些直接用网页工具的。这样完全失去了使用 2FA 的意义了。
理论上这个东西应该放在物理隔离的设备上。
替换下来的手机就是很好的选择,不插卡不连 wifi 。偶尔手动给它校准下时间就行。
 |
1
0DBBFF 2023-11-07 16:22:22 +08:00 via iPhone
出门带俩手机感觉好累赘
|
 |
2
Dreax 2023-11-07 16:29:35 +08:00
|
 |
3
weidaizi 2023-11-07 16:34:59 +08:00  1
OP 这也是一种思路,但是感觉每个人需求不太一样,方便和安全就像天平的两端
* 比如用常用的手机,平时在外面要登录就很方便,只要加密存储了,其实也还行啊,而且用厂商的 app 还可以方便的同步 * 再比如我自己,使用 2FA 的账号就只有 google, github 和微软等,登录这些账号时我通常是开着电脑的状态,所以我就只用自己写的 2FA 的命令行工具,本地加密存储,备份也是手动备份在自己的几个服务器上 * 用网页的嘛... emm... 这个好像确实没太必要 😂 |
 |
4
cheng6563 2023-11-07 16:48:23 +08:00
2FA 是个用来校验的东西,不参与数据加密,没啥必要用单独的物理设备,及时备份就行了。
像加密货币的助记词才是真正需要物理隔离的东西。 |
 |
5
Greenm 2023-11-07 16:53:03 +08:00 1
我的观点是不要用同一个软件保存密码和 2FA 就行,比如 bitwarden 等密码管理工具只保存密码,2FA 用其他软件保存。
我认为 2FA 的意义就是这个,两步认证。 如果使用同一个工具做两次认证,那就毫无意义,是为了两步认证而认证。 当然在有条件的情况下,分得越开越好,用硬件 2FA 设备比软件好,离线比在线好,不同设备比同一个设备好。 安全毕竟和便利是相对的,永远不可能只考虑一个。 我认为做到分不同的软件做 2FA 就已经满足基本定义和它设计的出发点了。 |
 |
6
hingle 2023-11-07 16:53:51 +08:00
丢了 2FA 设备不是更难受吗?
|
 |
7
shyrock 2023-11-07 17:05:23 +08:00 1
用同一个设备 2FA 的意义在于,可以防范脱裤等密码意外丢失而造成的非法登录,除非你的机器物理丢失并被解锁。
相较而言,前者是很常见的问题,后者可不容易(尤其是 iPhone ) |
 |
8
totoro625 2023-11-07 17:11:10 +08:00 via Android 1
很多人不想用 2FA ,但是常常被弹窗建议使用,为了避免麻烦,不得不用 2FA
大部分人都是不关心安全,更关心易用与否 |
 |
9
zsh2517 2023-11-07 17:23:42 +08:00 1
我基本所有能开 2FA 的网站都打开了 2FA ,走的 1password 同步,密码是纯随机字符串密码
不考虑 1p 的安全问题的话,主要风险在于如果密码明文被看到/读取剪贴板/键盘记录器等场景,2FA 能起到无法重放的作用。 至于 1password 的安全问题,我觉得是不信任就别用,用的话就得有一定的信任(被攻击/泄露方面)。自己做一下数据备份防丢就行了 当然,我支持楼上提到的,『如果使用同一个工具做两次认证,那就毫无意义,是为了两步认证而认证。当然在有条件的情况下,分得越开越好』 但是主要懒得搞了(我之前 MS authenticator 差点丢数据。yubikey 存 2FA 不是很方便而且容易丢) 真发生泄漏问题,至少可以作为索引挨个网站改密码 |
 |
10
zhng920823 OP |
 |
11
yhrzpm 2023-11-08 03:36:05 +08:00
可以准备两个手机,一个常用的,一个只放在家里做备份使用。一定程度上便利性和安全性都有了。2FA 程序最好也别联网,不登陆 google 和微软账号。
|
 |
12
julyclyde 2023-11-08 12:51:06 +08:00
软件 TOTP 和硬件 TOTP 的用法不一样啊
硬件是自己带密钥,然后“关联”到账户 软件是由账户所属方发放密钥给你的软件 |
|
13
julyclyde 2023-11-08 12:51:41 +08:00
@zhng920823 你说的 hid 键盘就是 yubikey 那种了
|
Select Language