将密码和 2FAS 的验证码放到一起合理吗？有没有安全隐患

我也想过这个问题，如果主密码被爆，那么 2FAS 形同虚设，不知道有没有更好的理解。
我暂时没把 2FAS 迁移到密码。

不放在一起，用两个 App 来回切吗？
既然 Apple 密码、微软 Authenticator 、1Password 、Bitwarden 等主流软件把密码和 2FA 都放在一块，应该是没有问题的

肯定有隐患，因为密码管理器是 auto-fill 的，没有输入密码的过程，不需要防偷窥，这样 2FA 的唯一意义就只有形式主义安全，让网站以为你安全了
如果你的软件比较垃圾没办法直接 auto-fill 只能复制粘贴的话还有防读剪贴板的功能，TOTP 过期失效，不过要目标网站做了 TOTP 用一次自动失效的设计，不然 30 秒内还是能拿偷到的 TOTP 登录

@drymonfidelia 总之放在一起还没有短信验证当 2FA 安全，对别人没有价值的账号可以这么做

@drymonfidelia TOTP 用一次自动失效的设计 > TOTP 用一次后立即失效的设计 我测试过，80%网站都没做这个功能

我觉得不合理，我是分开的。
放一起存无非就是图省事而已，但是在一些情况下失去了 2FA 本身的意义，颇有种不得不用 2FA ，所以才启用的感觉。

本来就是一个折衷的方案
真要纠结起来没完没了
既然认为放密码管理器中的 2FA 会泄露
那么为什么会相信放密码管理器的其他密码就安全了?

2FA 对网站来说防止弱密码,防止重复密码(社工库碰撞)
对个人来说防止当前站点数据泄露或极低几率的意外碰撞

大型网站可能每天都有很多人在尝试登录你的账号
Bing 搜索 查看你的 Microsoft 帐户的最近登录活动
虽然在我这大部分登录失败的原因是 输入的密码不正确

@drymonfidelia #4 我也这么觉得。

@marvyn #2 放在一起是方便了，但是也失去了二次验证的部分特性，降低安全性。例如 macOS 上，Apple 的“密码”应用是不能设置独立密码的，通过 Mac 的密码就可以访问。好比某天请假笔记本放在了公司，有一份文件在电脑中需要用到，把开机密码给同事协助操作，这个场景下，同事就可以导出你所有密码和 2FA 验证码。如果 2FA 独立存在手机上，即使同事拿到你的密码也登录不了账户。（只是举例，大多数同事还是讲道德的）

@loli #7 二次验证的场景是密码泄漏用来兜底的。密码和 2FA 是否放在一起对于撞库、脱库这种事件确实没什么影响。但是如果密码管理软件泄漏了，密码和 2FA 放在一起，那就没个兜底的了。一个锁需要 2 把钥匙才能打开，我们却把 2 把钥匙放在了一起

不安全，理想的做法是 TOTP 只保存在相对隔离的设备比如未越狱的 iPhone 上并关闭所有云同步