谷歌两步验证器为什么没有同步必要的功能呢

2018-12-01 08:45:31 +08:00
 tomoya92

每次添加密钥到认证器中还要提前把密钥或者二维码保存一下 每次添加密钥到认证器中还要提前把密钥或者二维码保存一下

如果手机被偷了或者不小心刷机了再要么 APP 被卸载了那么密钥就找不回来了

认证器不增加同步密钥功能难道是为了安全考虑吗

6874 次点击
所在节点    问与答
40 条回复
z742364692
2018-12-01 08:55:59 +08:00
用密码管理工具自带的两步验证就可以同步了,如 enpass,1password
Tony042
2018-12-01 08:56:44 +08:00
Microsoft isAuthenticator 了解一下
Tony042
2018-12-01 08:57:17 +08:00
啊,有个 typo,是 Microsoft Authenticator
fetich
2018-12-01 09:00:59 +08:00
没有同步功能更安全,想要便捷的可以用第三方的工具
parametrix
2018-12-01 09:04:42 +08:00
实际上就是安全问题。多因素认证指的是相互独立的多因素,同步功能基本上是肯定会削弱独立性,比如说同步功能的认证还是帐号密码,那还有什么用。

此外,如果再不是端对端加密,或者可以脱离手机使用(比如可以在电脑上用),那差不多就只能看作一个强密码了,基本丧失了独立因素的功能。
totoro625
2018-12-01 09:06:08 +08:00
我用的 LastPass 附带的 Authenticator
感谢 1# 原来 enpass 也有
boileryao
2018-12-01 09:10:49 +08:00
上次备份直接拖的数据库🙃
ekousp
2018-12-01 09:46:31 +08:00
authy
maemual
2018-12-01 09:51:11 +08:00
我觉得很有可能这个 APP 就是 Google 的客户端工程师随手做的,根本没有考虑这么多。。。。
lzvezr
2018-12-01 10:05:00 +08:00
@maemual 可能因为协议随便用,自家的就做个演示版本吧
tomoya92
2018-12-01 10:15:10 +08:00
@maemual #9 确实就是个 demo,其它家的也不太想用,我已经把几个开启了两步验证的网站给关了
0312birdzhang
2018-12-01 10:18:37 +08:00
其实核心代码相当简单,利用 java 的库几行代码就搞定了, 可以自己写一个。
ladypxy
2018-12-01 10:19:00 +08:00
Google 的那个就是垃圾,推荐用 authy
reus
2018-12-01 11:33:05 +08:00
服务器不暴露获取密钥的接口显然更安全,物理分发是更安全的,物理做不到,那你手工操作一下也比调接口好

“如果手机被偷了或者不小心刷机了再要么 APP 被卸载了那么密钥就找不回来了”
一般都会给你一些备用码,那些就是给你更换密钥用的。
Youngda
2018-12-01 11:42:49 +08:00
authy+1,以前用谷歌的不知道有同步功能…被坑过
kev0709
2018-12-01 11:58:34 +08:00
本地的是最安全的 不信任云厂商 目前用的是 andOTP
chantan
2018-12-01 12:05:42 +08:00
被谷歌验证器坑过一次 转 authy 了
sobigfish
2018-12-01 12:06:42 +08:00
我被 OTP Authenticator 坑的最惨是暴雪的,手机维修前用密码备份过(加密码备份会备份到 keychain )
结果因为换过机,备份还原了那个 key 还是还原不到,D III 账号就再也进不去了...

其实密钥被称之为密钥,本身就应该只是本地存储,不经过网络传输(传输的过程就增加了泄露的风险)
Google 那个当然也有可能只是 Google 的玩具
kwlokip
2018-12-01 12:09:50 +08:00
andOTP
mangoDB
2018-12-01 12:14:08 +08:00
@totoro625 请教一下,lastpass 的 Authenticator 在手机端也有吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/513243

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX