或许,我们没有那么多密码需要保存

92 天前
 tigerc
由于备份及容灾意识过强,我整了 3 台设备。
iPad mini 5
iPhone 13 mini
iPhone 13
都装有 1Password 。
想着,哪怕其中一个故障或者丢失了,都没有任何问题。
就这样愉快的过了 2-3 年。
唯一发现的问题是,
同时充电,桌上一堆线。还有 Mac ,耳机,充电宝。
得多配几个充电头。
影响不大,可以处理,也可以忽略。

时间来到了本月初,一个闲的无聊的周末。
我把 3 台设备都出了,换了个 iPhone 15 。

Type-C ,爽了。
还可以直连三星 T7 硬盘,更爽了。

故事从这里就开始了。

旧设备退 ID ,密码是自动生成的,不记得。
拿张纸写下来了。
这里看似是救命稻草,其实不写也没事。

1Password 得转移到新机上,因为所有的密码都在上面。
用 Dropbox 同步,200 多个。
什么 2FA ,什么备用代码,通通都记在里面。

1Password 保险库保存在 Dropbox 里面,
Dropbox 的 2FA ,备用代码,都保存在 1Password 保险库里面。
我想要拿到 2FA ,得先连上保险库。
看到没有,这里死循环了。

其实我早就发现死循环了,但这不有 3 台物理备份嘛,死不了。

开始换新机。
期间,什么都不用做,数据转移好了。
系统是 iOS 18 ,可以用。
瞅一眼,1Password 中 200 多个密码都在。

回家把线捋一捋,多出的充电头收起来。
整个房间清静了。

划拉了几下 iOS 18 ,发现很多设置没有。
还是换回 iOS 17 吧,懒得折腾。

搜了一下,用 Mac 可以降级。
那等什么,来吧。

自然是先点备份,再降级。
瞅一眼,确实备份了。

开始降级。
期间,什么都不用做,数据转移好了。
仔细一看,不对,确实是回到了 iOS 17 ,但 1Password 没了。
没事,我不是备份了吗。

点一下的事儿,点恢复备份。

没错,你推理到了。
恢复不了。

这下进入死循环了,死得透透的。

你们有过一瞬间丢失 200 多个密码的经历吗?
或者我换一个问法,
你们的心死过吗?

我这种各种网盘都有,数据交叉备份。
密码全部自动生成,带 2FA 。
横行墙头 10 余年,从无任何闪失的独行剑客。
今天,栽了。

我的心仿佛空了一块,
更让人伤心的是,
我不知道我空掉的这一块,是个啥。
因为我不记得。

总不能马上就去死,
新手机还在充电呢。

应该还有救,捋一捋。
一个个来。

Apple ID 我能登录,其实不手写密码也没事。
开了双重认证,能收短信就能登录。
这点相当简单,也相当好。
就是这点救了我,不然我绝不可能发这个帖。
因为我的心死了。
不是,因为我登录不了。

这下好办了。
我有另外两个 Apple ID ,专门用来做所有账号的辅助邮箱。
是的,我有好几个 Apple ID ,用处各不相同。
密码自然也不记得,但我能收到短信,就能登录了。

我复活了。
有印象的数据全部回来了。

当然有我不记得的,不仅密码不记得,
我连帐号都不记得,甚至登录地址我都不记得。
等于是某些东西,从我的生命里消失了。
是哪些东西消失了,我也不知道。
仿佛从来就不曾来过。

有影响吗?
完全没有。

倒是有一些结论。

Dropbox 我是很喜欢的,存了很多重要数据。
帐号邮箱我找回了,能收到邮件。
Dropbox 密码也重置了,但无法登录。
卡在了 2FA 和备用代码上。

不让我登录,我拿不到这两个数据。
发了一堆邮件找客服,他扯一堆废话,就是登录不了。

得,不要了。

除了 1Password 保险库,其他所有数据都有交叉备份。
没啥影响。

还是 Apple 和 Google 简单纯粹,
双重认证短信一填,这个帐号就恢复了。
辅助邮箱验证码一填,这个帐号就恢复了。
至于这个帐号是不是持有人恢复的,
作为数据商,你应该去分析。
我看到,Apple 和 Google 做了分析。
他并非马上恢复,
而是告诉我,他需要经过分析,才能判定是否给我恢复。
这点做得非常好。

而不是如 Dropbox ,给我发一份备用代码,叫我打印出来。
没有这个备用代码,不给我登录。
你想啥呢?
还打印?
就算打印了,我能找得到?
滚犊子。
7573 次点击
所在节点    分享发现
96 条回复
totoro625
92 天前
@tigerc #32 对于在乎安全的人而言感觉看到了另一个极端
如果任何一个账号仅凭邮箱里的登录链接就能在新设备登录,密码和 2FA 全都是摆设
这个产品设计上就没考虑过安全
我觉得 Dropbox 设计的没错

补充:
1. 如果你在 iOS18 有备份数据,可以再次升级到 iOS18 ,从备份中获取数据
2. 1password 买断用户才能 Dropbox 使用,你选择了自己保存数据,但是没保存好数据
只在手机上保存数据,还在最重要的手机上测试新版本系统,依赖不可靠的测试版系统备份文件降级
3. 一个别有心机的坏人,获取了你的邮箱,就能登录这么多属于你的账号,实在是可怕
tigerc
92 天前
@weakish 确实是直接跳过 2FA 了,你可以测试一下。
tigerc
92 天前
@totoro625
目前我发现,Google 账号,你就算知道我的密码,我不开 2FA ,你也登录不了。他会分析你的设备和 IP 地址,然后要我在手机上点数字确认,你才能登录。
我切换了 IP 地址,也需要在手机上点数字,才能登录 Gmail 。
这点非常好。他在服务端做好了防御,我们随便用就好。
看似非常简单,甚至大门钥匙都丢给你,但你就是进不来。
这不就是,真正的科技,是让你感受不到科技的存在。
shyangs
92 天前
@tigerc

那若你的手機不小心摔了會怎樣, 能登入 Google ?
tigerc
92 天前
@shyangs
备用邮箱是 iCloud ,可以找回 Google 。
iCloud 绑定手机号,收短信登录。
手机号绑定身份证,可以找回。
身份证丢了再去办一个。
这就完美闭环了。
什么都能找回来,并不需要诸多限制。
应该在服务端做足防御,而不是让我到处放钥匙。
被人破门而入了,而怪我丢了钥匙。
moudy
92 天前
所以我的大部分密码都是自己生成的。因为我曾经莫名其妙的钥匙串被清零过......
tigerc
92 天前
更有甚者,我自己拿着钥匙。
家里有我的身份证,各种生活照片,各种资料。
还有交叉备份可以证明这些东西就是我本人的。
他居然不让我进家门。
Dropbox 兄弟,搁以前,我给你大拇指。现在 2024 了,揉揉眼睛行吗。
别人都取消密码了,你还让我带个纸。
shyangs
92 天前
@tigerc

你是到處放鑰匙,但沒記住主鑰匙(Master Password),這才有了這篇帖子.

記憶主鑰匙不需要用紙. 只需要大腦,比如用聖經或哈利波特的一句句子當主密碼.

`I_will_place_on_his_shoulder_the_key_to_the_house_of_David.` 大小寫特殊符號, 極長, 妥妥強密碼, 還不會忘記.

覺得聖經或哈利波特太有名你可以用冷門書.
tigerc
92 天前
@shyangs
不是这个意思。
主密码我记得,但不记得备用密码。
等于给我套了 2 层锁,我只能打开一层。
应该学学 Google ,淡化客户端密码,在服务端做足防御。
Lotii
92 天前
Apple 二次验证依赖手机号有点坑,Apple ID 绑定的邮箱就是发个通知。
Google 好像不支持备用邮箱找回?
我刚刚试了下 Google 账号无密码、2FA 验证码,恢复密钥的情况下,好像无法恢复呢
tigerc
92 天前
@Lotii
你再试试,我 10 个 Google 账号都是靠 iCloud 找回的。
没有 2FA ,没有密钥。
Lotii
92 天前
@tigerc 我试了 3 个 Google 账号都不行,3 个号都开启了 2FA ,也都设置了备份码,添加辅助邮箱。恢复账号页面“试试其他方式”跳过了 2FA 和恢复码就没了呢
tigerc
92 天前
@Lotii #52
你看

Lotii
92 天前
@tigerc OK 了!多试了几次,才跳出使用辅助邮箱接收验证码的选项😂
mazyi
92 天前
备份数据是有 321 原则的,你这个权当自娱自乐了
deepzz
92 天前
2FA 丢失理论上来说应该通过更多因素的验证来证明你是所有者,增加盗号的成本。但是备用码保存又是问题,很容易形成循环。这就是方便与安全性的妥协问题,很难。

楼主将数据存放与 iCloud 完全就解决问题了,最终落地到 Apple ID 上或者密码和 2FA 分开存储。

有兴趣可以试用 https://apps.apple.com/app/authone/id6467347432?at=web
tigerc
92 天前
@mazyi
这么复杂吗?
我直接复制 3 份移动硬盘。
Google 云端硬盘互相连接起来备份和同步。
总不能我 10 个帐号都丢了。
就算再丢一次,也能回来。
tigerc
92 天前
@deepzz
是的。
我不再申请帐号了。
10 个 Google 帐号够我登录各种网站和 App 。
墙内,用 iCloud 。
从此,不再需要密码了。
onice
92 天前
我用的 Sticky Password ,捷克一家公司的产品。可以自己选择本地同步还是云同步。不过我当然用云同步。

平时移动端关联指纹验证,PC 端就用 Windows 的 PIN 码。平时进入密码库不用输入主密码,所以也不存在密码被窃取的问题。感觉并不需要开启二次验证,,安全性已经足够高了。

如果哪天我无法进入密码库,一定是我的设备都坏了,然后我的主密码也想不起来了。
B1ankCat
92 天前
我的 master password 都存在自己的 qq 群里,稳的一笔,十年不丢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1073312

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX