换手机后 microsoft authenticator 用不了了

之前被 MS 封过一个账号，还好那时不流行两步验证。但从那以后我就再也不敢把身家性命绑在一个服务商身上了，重要的东西都要同时使用至少两家服务商。比如两步验证我一直是 Authy 和 MS Authenticator 同时用，开启两步验证时分别用这俩 app 扫码即可。

直接用谷歌的验证或者用苹果自带的验证器。
微软的 mfa=💩

我旧手机坏了，导致一个帐号锁死了……坑！

卡在同样的地方，已经放弃了，一模一样。

有些人真的挺心大的，或者是连两步验证的基本原理也未曾了解过，就敢寄托于一种两步验证方式。我是从来都必须冷备份初始的二维码（其实就是一字符串），其它就正常使用。到了真的万不得已的时候，至少，还有初始的二维码可以用，随便用任何一个验证器都能弄回来。

这个换机的时候会丢失记录

@laydown #25
所以像我和 2 楼看到不对劲直接不敢用啊，我注册了但不开 2 步。
但问题是出在设计这玩意的人，而不是用户，这玩意面向的用户是普通人而不是专家对吧？作为设计的应该假设用户电脑水平是有限的，而不是假设每个用户都花大量时间去读天书啊。而且现在如 2 楼说的，还有一些地方是强迫你开 2 步。
丢手机/坏手机会造成你丢失全部相关密码应该是设计这个的人该考虑的问题而不是用户，至少一开始注册时就应该有大红字提醒必须做一个类似于密匙那样的备份那个验证器的恢复方式到其他手机/电脑里，只要用户还没备份，就该一直有红字警告。
我的意思是，设计这些东西应该有显而易见的方式提示用户风险和让客户容易备份，但我肯定注册 MS 这个过程是绝对没有。

为什么微软 、谷歌的验证器都无法导出， 查看原始的二维码链接 都不让看， 太坑了。 转移都不行！

①还是习惯不好

TOTP 程序就不应该联网,支持备份到文件/从文件还原的开源离线 TOTP 程序就是最优解

否则你登录网络账户前,还需要让 TOTP 程序登录+联网,那么 TOTP 程序本身又要不要 2FA?如果要那就是无限套娃无穷无尽,如果不要那么你的整个流程中 TOTP 程序反而成为最薄弱环节

所以我的结论是“需要联网地 TOTP 程序是小丑/不支持文件形式备份/还原地 TOTP 程序是小丑”,先不说网络是否畅通你能否顺利及时登录的问题,这完全就和 2FA/MFA 的设计目标相悖,完全是为了便利而妥协了安全,或者说是“自认为能够在不牺牲安全的前提下更加便利”

你说需要多设备同步/备份还原,请直接传输 TOTP 程序的备份数据库,都是强加密你哪怕拿微信传输到新设备呢都无所谓(当然我是说 WIN/LINUX/ANDROID,我不了解苹果,我对于苹果系统的印象还停留在“连文件管理器都没有”的年代)

②你完全可以自己全手动备份 TOTP 实例,还是那句话,稍微改一下习惯就行

最简单办法,在使用 TOTP 程序扫码绑定之前,你先截图二维码保存

进阶办法,随便安装一款开源离线扫码器,在使用 TOTP 程序扫码绑定之前,先拿扫码器把二维码给解码成字符串,其中只有“secret”字段是你需要保存地,因为其它所有参数都在标准中写死了没必要记录(关于扫码器,推荐 binary eye,fdroid 直接下载 APK 就行)

然后你把二维码/secret 安全保存就行了,这个自己想办法,我是写了脚本加密存储到网盘

本站内因为这些联网 TOTP 程序的煞笔设计逻辑而翻车的人都一抓一大把,你还不要说绝大多数普通网民了

用 1password 自带的 otp 有什么安全隐患吗，换过多个设备，数据转移都很丝滑

@agood #8 iOS 换机也有问题，丢过一次数据

@ixcode 没什么隐患 除了要付费
今天刚上车土耳其 1password 年费 50 把 bitwarden 都迁移了
体验确实上一个档次

除了微软账号 live.com 的邮箱，其他的账号 2fa 已经全部切到 Google authenticator 了

我上个月开了个会 bitwarden 的会员，然后花了三天时间把 MSAuth 里面的所有 totp 都搬到 Bw 里面顺便开通了好几个网站的 passkey ，这个用起来好爽…

所有打着安全的旗帜，不给用户导出密钥的二次验证程序，都 TMD 是耍流氓。

经过各种尝试，最终选择了 2FAS ，除了没有电脑客户端，其他方面都很好。

@ety001 #35 无妨，鸡蛋不能放在同一个篮子里

@ety001 #35 我有自建 Bitwarden ，但仍然把 2FA 单独存放了

我也推荐 ente auth 。功能全同步方便

微软的和 google 的不让导出，微软更加不让第二设备同步是更多的考虑 2FA 的唯一性。不然密码被盗，totp 的种子或者备份被盗，别人成功登陆了都不知道。
同时这样带来的可用性的损失，唯一的设备丢了话难以恢复。

绝大多数网站重置 MFA 都会重置 totp 种子，也就是之前的会失效，保持 2FA 的唯一性。但是竟然有网站允许添加多个 totp ，还有网站允许重复查看现有的 totp 种子。