Step Two

2020-02-10 22:07:02 +08:00
 Livid

一个支持用 iCloud 同步的两步验证器,有 iOS / watchOS / macOS 版本:

https://steptwo.app/

7369 次点击
所在节点    分享发现
25 条回复
no1xsyzy
2020-06-14 18:49:19 +08:00
2FA 忌多端同步、忌全量备份,不然根本不是第二“因素”
准确地说这在保密措施上叫做第二信道,只不过采用基于时间这一公开共识达成这个第二信道。
希望高可用的,可使用一个备份机器,将两个 2FA 分别加入账户,遇到遗失把前一个删除即可。
Exin
2020-06-15 12:02:19 +08:00
@no1xsyzy 我一直怀疑 MFA 的软件使用云同步是不是一个不安全的方式,但看到每次出现这样的软件大多数人又非常拥趸,很迷惑
no1xsyzy
2020-06-15 13:24:09 +08:00
@Exin #22 不必迷惑,大多数人对安全是没有敏感度的。
听说 MFA 有用,就都做上 MFA,结果又不方便,就再做个漏洞破坏掉这一安全性。
这种事也不是第一次出现了,也不会是最后一次出现。

为可能会有人需要,我给个 reference 吧
https://pages.nist.gov/800-63-3/sp800-63b.html#multifactorOTP
> OTP authenticators — particularly software-based OTP generators — SHOULD discourage and SHALL NOT facilitate the cloning of the secret key onto multiple devices.
no1xsyzy
2020-06-16 01:38:48 +08:00
@hvboekml #3 说起来,突然想到,其实做成微信小程序的实质是,它从 OTP 变成了 OOB ( Out-of-band )……
手机没网就 GG,这确实是 OOB,而不是 OTP,实质上和短信验证码一样。
hvboekml
2020-06-30 16:00:10 +08:00
@no1xsyzy 都算是 OOBA 吧,没网确实 GG,哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/643590

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX