现在许多网站都要求强密码,2FA 甚至 n-FA ( n factor authentication)。 但是我一直觉得这其实就是安全责任转嫁: 在用了这些措施之后,账号安全性就大大提升了,但是我自己登不上自己的号的概率也大大增加了。
- 我不可能记住所有的强密码,甚至 2FA recovery code 都不是我自己能设置的
- 我只能把强密码/2FA code 保存在某个地方
- 保存在的这个地方也需要一个密码来保护,只要这个密码对应的关卡以某种形式陷入不安全,甚至保存这些密码的地方不安全,那么上面做的所有事情都是徒劳。
- 如果我不把这些 code 记在某个地方,如果我手机丢了/换手机忘记迁移/等等情况发生,我立刻就登不上我的所有帐号了。
我自己的解决方案就是放弃保护这些强密码/2fa code 。我现在全部都放在 yuque/网盘/qq 微信的收藏里面,反正我自己的信息也不值钱没人要。
不知道 v 站老哥们怎么看这件事。
 |
1
zoharSoul 1 天前
2FA 装个谷歌身份验证器不就好了
|
 |
2
tunggt 1 天前
就像楼上说的,你自己装 google 或者微软验证器就行。
你要不信 google 和微软,你也可以自己搭建在你家路由器上,另外用得着保存 2fa 密码吗?直接备份你所有就行,加起来文件也就几百 k 。 |
 |
3
wheat0r 1 天前  1
安全都是相对的,你的信息不值钱,MFA 就是没用的
|
 |
4
Tiande 1 天前
自建 VaultWarden ,能上两步验证&passkey 的全上,银行卡之类的各种信息也都能塞进去。还可以建立组织,和对象共享一部分账户。分享加密文件之类的也能在 app 内操作。
风险仅在于你的密码库能否被找到(局域网内或公网上的),并且找到后能否被破解。 整理好之后用起来会非常舒服,浏览器&手机自带管理器里存的全都可以删掉了。 |
 |
5
Yanlongli 1 天前 via Android
怎么说呢,正是因为你能记住,所以密码太简单了。要一个你记不住的复杂的密码。
|
 |
6
Android99 1 天前 1
|
 |
7
2exhjx 1 天前 1
keepass 用 密钥文件 + 密码;即使泄露了密码,没有密钥文件也无法打开
密钥文件可以是一张普通的照片,随便放哪都可以 |
 |
8
v2tudnew 1 天前
目前大部分的 2FA 都可以用邮箱、手机号解除,密码保管类软件也可以存储。
纯手机号登录倒是方便了,别人捡到也方便登录账户(不管有没有价值,反正挺恶心)。 |
 |
9
yvkino 1 天前
无密码登录,但是除了大厂用根本推广不开啊
|
 |
10
zbinlin 1 天前
国内的短信验证码登录和微信扫码登录应该是最适合你了。
|
 |
12
CivAx 1 天前
docker compose 起个 2FAuth ,Github 有项目,我一直在用。
|
 |
13
cnt2ex 1 天前
如果你的数据真的那么重要,又害怕失去密码和 2FA Token 导致自己登录不上,那就同时使用多种方式备份就好了。除非所有方式的备份都被你丢失了,否则总能恢复。
比如云端备份强密码数据库和 2FA Token ,但是存在云端的之前使用端到端加密,而端到端加密的密码使用的记录在纸条上。如果害怕纸条丢失,多复印几份贴在电脑上、硬盘上就好。 如果还害怕丢失,再把强密码数据库和 2FA Token 离线备份一份到移动硬盘里。 除非有人能物理接触这些东西,否则也盗不了你数据。 |
 |
14
roygong 1 天前 via iPhone
用密码管理器不就行了,我用 Bitwarden 官方的服务,2FA 多设几个 YubiKey ,只用记个主密码。担心云服务不稳定的话,再导出刻盘找个安全的地方放着。
|
 |
15
importmeta 1 天前
防撞库用
|
 |
16
gbadge 1 天前 via iPhone
恢复代码用 gpg 加密然后把私钥和加密文件都用 7z 强加密存在网盘上,安全性和便携性皆有
|
 |
17
zololiu 1 天前
自建 bitwarden 解君愁
|
 |
18
lovehigh 1 天前
@Ma5ter 差别不大,keepass 是官方自己的,keepassxc 是第三方的。
Why KeePassXC instead of KeePass? KeePass is a very proven and feature-rich password manager and there is nothing fundamentally wrong with it. However, it is written in C# and therefore requires Microsoft's .NET platform. On systems other than Windows, you can run KeePass using the Mono runtime libraries, but you won't get the native look and feel which you are used to. KeePassXC, on the other hand, is developed in C++ and runs natively on Linux, macOS and Windows giving you the best-possible platform integration. |
 |
19
charley008 1 天前
自建 vaultwarden ,2FA 还有各种密码都丢里面.也没啥难的啊?现在我几乎所有注册需要密码的地方都用它来生成复杂密码。基本上绝大部分密码是什么我自己也不知道了。
|
 |
21
kasusa 1 天前
我用的是微软的 authicator 。但是我觉得 ui 不好看。
而且软件好像不能删除,key 都是存本地的。不过好在之前苹果手机转移资料时候都能把这些 2fa 也搬家过来。 |
 |
22
edwardzcn98 22 小时 38 分钟前
先破除幻想,便捷性和安全必须做取舍,举几个例子。
1. 2FA / n-FA 启用与否 - 多因素(多步骤)验证,你可以理解成 key->key->key 钥匙链,少一个都过不了 - 安全性换来了什么,你弄丢某个 key 都会导致没办法验证(所以都是 2FA 而非 nFA 是一个现实情况的取舍) 2. 绝对离线( KeePassXC )和多端同步( 1Password/Bitwarden ) - 上云就意味着你的密码可能通过不信任的信道传输(不管传输加密与否) - 1P 宣传自己端端是 zero-knowledge 加密,你能自行验证吗?验证的代价是会影响传输的性能 3. 依赖 Chrome 的密码本或者系统钥匙串,还是必须独立密码管理软件(上面几个) - 前者当然用的爽,无感填充强密码还帮记录,依赖 DPIPC 就意味着用着系统会话窗口对密码全接管,代价是 IPC 被 hack 就完蛋。 - 前者多一层鉴权,但即便是你自己用着信任的电脑也要每次输入密钥( PS 密钥还不能明晃晃放到桌面上,我在回复里就看到有人这么干,不做评价)。 |
Select Language