这是一个创建于 1142 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天使用 iPhone 版本的 Google Authenticator 时发现之前保存的记录有重复的,刷新多次和重新打开 app 都没用,于是就把重复项删除了。 过了一会儿再次打开发现刚才删除的项都不见了。。。 这个应用的数据按理都保存在本地,不联网的,不知道怎么会出现这种情况,导致误删了。。。
第 1 条附言 · 2021-10-07 21:13:37 +08:00
没想到有这么多人中招过了,目前没办法找回了,只能按各个网站的流程要求申请 禁用 /重置 2FA,就是麻烦了点。
现在我也使用了微软的 Authenticator,这个貌似有备份和恢复功能。
目前在 Google 的和微软的 Authenticator 里同时添加账号以防万一,之后总不能两个 app 同时出问题吧。
现在我也使用了微软的 Authenticator,这个貌似有备份和恢复功能。
目前在 Google 的和微软的 Authenticator 里同时添加账号以防万一,之后总不能两个 app 同时出问题吧。
 |
101
SimonOne 2021-10-08 13:45:14 +08:00
我用 pass-otp 。
https://github.com/tadfisher/pass-otp |
 |
102
mercury233 2021-10-08 13:50:11 +08:00
@cairnechen 我才注意到他说的是扩展,按字面意思理解应该是不可能的,他应该想表达的是第三方程序
|
 |
103
q197 2021-10-08 13:53:24 +08:00 via Android
@spediacn
使用 Windows 提供的 api 加密,如果电脑不开机状态下硬盘中对应数据是加密的 |
|
104
q197 2021-10-08 13:54:19 +08:00 via Android
Android 平台推荐开源的 andotp,没有任何云功能,靠自己备份
|
 |
105
2i2Re2PLMaDnghL 2021-10-08 13:56:25 +08:00  2
@maleclub 第零:不要把 2FA 和其他账户密码放在一起。
|
 |
106
manami 2021-10-08 13:59:18 +08:00
Authy
|
 |
107
maleclub 2021-10-08 14:17:25 +08:00 via iPhone
@2i2Re2PLMaDnghL 为何?既然统一放密码管理软件了,我为嘛还要分开?原因何在?
|
|
108
2i2Re2PLMaDnghL 2021-10-08 14:27:50 +08:00
@Microseft 请你看下 sp800-63b,其实 OTP 的作用应当是**取代密码**作为常用登录手段,而密码作为备份登录手段。
主要还是涉及金钱交易或波及许多人才需要上 AAL2,比如按楼下的比方,digitalocean 账户如果被攻击者控制,可能会篡改 DNS 记录把用户引到攻击者的钓鱼平台上,让用户给这个钓鱼平台付费。再者,如果 pythonhosted 网站 DNS 被篡改,就可能让大量用户下载到带有恶意代码的内容(想起好像 CPAN 似乎被搞过破坏,那时官方第一时间宣告,不要从 CPAN 下载任何内容)。 但如果你的网站根本不涉及金钱交易也不是基础设施,就是个很随便的个人博客,那你显然不需要 AAL2 。 至于 AAL3 是不太可能个人用户需要使用的,该用得上的时候不会有人想要偷懒的。不排除有可能是核弹发射设施或者宙斯盾控制中心。 @tammy 邮件验证码也是一种 2FA,只不过不是 TOTP ( time-based one time password ),而是 OOB ( out-of-band ) 你这是在通过把 OTP 记录到密码管理器一起,实际上是破坏 2FA,根本不构成任何论证,反而是再次说明了什么叫『 2FA 就是坑自己』,只不过这里是 DO 强制你坑自己,你决定绕过它,从而使得 2FA 不会坑你自己(这段话有点饶舌)。 (不过,如上所述,在某些情况下破坏 2FA 也是可接受的。你是自由的,一切优劣该由你独断) |
|
109
2i2Re2PLMaDnghL 2021-10-08 14:28:40 +08:00 1
@maleclub 简单地说:放一起那就不叫 2FA 了
|
 |
110
kinXdle 2021-10-08 15:07:59 +08:00
我用 bitwarden
|
|
111
maleclub 2021-10-08 15:58:05 +08:00 via Android
@2i2Re2PLMaDnghL ??? 1password 或者 keepass 等密码管理软件通过保存 otp 的键值来生成 totp 动态密码?这不安全?难道软件设计有问题?
|
|
112
maleclub 2021-10-08 16:01:56 +08:00 via Android
@2i2Re2PLMaDnghL 我明白你的意思了,敬慎考虑确实不应该放在一起
|
 |
113
dolphintwo 2021-10-08 16:30:44 +08:00
GA 遇到过,后来换了 1P,再也不担心了
|
 |
115
301hwtz 2021-10-08 22:44:16 +08:00
免费海外 301 跳转系统,专注解决被墙域名,最新 100%跳转成功,不限域名不限内容,官方网站: https:guoqiang301,没有任何收费项目注册即用
|
 |
116
Cassius 2021-10-08 23:25:13 +08:00
GA 可以导出啊. 现在是 2 个手机刚好互相备份
|
|
117
2i2Re2PLMaDnghL 2021-10-09 01:28:08 +08:00 1
@maleclub 当时刚被主管叫住一时发出来了,现在看下我说得有点谜……
你能自己搞懂也是挺厉害的。 keepassxc 官方文档建议把 otp 放另一个数据库 keepassxc[.]org/docs/#faq-security-totp 1password 也有相关的,并且明确指正一个误区,TOTP 不一定等于 2FA blog.1password[.]com/totp-and-1password/#totp-isnt-the-same-as-two-factor-security 他们都对此作出了权衡,或者说实现了功能允许用户作出权衡。 『一切皆 trace-off 』…… 我可能确实太苛刻了。 提点怪的: 微软是彻底玩透了,干脆取消密码,直接上 TOTP (安全性不亚于密码,甚至不少现实条件下反而更好) medium 则是我从来没见过密码,只有 OOB (只能给邮箱发登录链接) |
 |
118
lovehigh 2021-10-09 10:27:23 +08:00
最开始我也用 google authenticator,后来想设备同步切换到了 Authy 。目前方案是用 keepass 来管理,手机端直接通过坚果云同步数据库就行,TOTP 也没问题。
|
 |
119
skiy 2021-10-09 16:45:22 +08:00 via Android
@lovehigh 我现在是 keepassxc + syncthing 。唯一不足的就是 keepassxc 没有手机端。
|
|
120
skiy 2021-10-09 16:47:48 +08:00 via Android
@hw028 😂为了证实你的说法。我删了。然后要爬墙用 play 恢复数据才行。我一直以为是同步到 onedrive 上。现在才注意到只同步密码
|
|
121
skiy 2021-10-09 16:48:01 +08:00 via Android
@hw028 😂为了证实你的说法。我删了。然后要爬墙用 play 恢复数据才行。我一直以为是同步到 onedrive 上。现在才注意到只同步密码填充的数据
|
 |
123
spediacn 2021-10-10 04:02:21 +08:00 via iPhone
@xingheng 复现很简单,你先存几个无关痛痒的密码进去,然后注册一个 dashlane 的新号,装上 chrome 插件,过一会儿他就主动把你的 chrome 里自带的密码都导进去了。曾经因为这个问题我发信问过 dashlane 客服,后面可能有修改会要求用户确认一下,但无论如何,它可以直接把 chrome 密码全读出来
|
 |
124
janssenkm 2021-10-10 04:09:26 +08:00 via iPhone
Authy 好用,但它显示有问题,名字稍长点就被隐藏了,对于有几百个账号的使用场景来说查找非常费力。
另外 Authy 能新增但我一直没在手机上找到删除或修改,只有 show/hide,很郁闷 |
 |
125
xingheng 2021-10-10 10:29:27 +08:00
@spediacn #123 听起来好像是个大漏洞,是 windows 还是 macos,macos 版本的 chrome 密码还是存在了系统自动的 keychain,windows 版的就不知道了。
|
|
126
skiy 2021-10-10 22:37:57 +08:00
@hw028 还好吧。我因为前段时间在苹果手机使用 Google 验证器的时候,有一条数据出现了两条,删掉其中一条后,两条都没了。然后才切换到了 微软验证器。不过看来之前有这么多人都出现过各种各样的问题。不知道 Authy 会不会好些?数据会同步吗?
|
 |
127
feimin 2021-10-11 00:16:30 +08:00
建议换 bitwarden
|
 |
129
shangsharon 2021-10-11 12:24:18 +08:00
之前也是看了 v 友的帖子,十一前专门把各个应用的 2FA 都转到了微软的 Authenticator,想着能自动同步,备份恢复.正好想刷机 root 一下,隔了几天刷完机之后再装上 Authenticator,瞬间凉了,只给我同步了一个公司 gitlab 服务的密码,都要疯了,十几个 app 的密钥都没同步,火币也登录不了了,几百万(/狗头)没了,又要一个个重置了,不知道能不能找回
|
 |
130
tankren 2021-10-12 16:40:05 +08:00
我用的 Authy
|
 |
131
OnlineParty 2021-12-22 01:30:19 +08:00 via Android
我艹,我也中招了,日
|
 |
132
moneko 2023-09-05 19:08:13 +08:00
|
Select Language