大家都在用什么 OTP(二次验证)方案啊

2020-12-06 17:14:11 +08:00
 Hackerchai

综上,如果可以造论子的话,大家希望理想的 OTP 客户端是什么样的?我有几个备选想法:

  1. Authy 的开源实现版本,除了客户端以外实现一个后端,用来完成登录和同步。不使用手机号作为二次验证,只使用Master Password来鉴权 (如此的话安全性会打折扣,这里如果各位 V 友有更好地二次验证解决方案可以留言)。实现起来类似 Bitwarden 自建,可以自行搭建,客户端指定后端同步地址

  2. 实现一套加密方案,在各平台客户端的基础上支持对接各大网盘存储 /WebDav 的 API,实现自动更新和跨平台同步

想了解一下各位大佬的 OTP 客户端,看看有没有更好地解决方案

9129 次点击
所在节点    信息安全
43 条回复
Hackerchai
2020-12-07 09:45:18 +08:00
@nieyujiang 那 1pass 的二次验证怎么解决呢
tsukiikekaoru
2020-12-07 09:46:13 +08:00
虽然分开放的确会增加一重安全性,但使用上也会更加不方便。这就是安全性和方便性的选择了,个人观点是没有必要去追求绝对的安全性。即便是传统的单一密码机制绝大多数被攻破也是因为简单密码、多网站同一密码、微博等厂商自己被人攻击盗窃,而这些在使用不同网站不同复杂密码加 OTP 后都已经能够杜绝,也就是说使用密码管理软件后已经解决了上述问题。不要总想着有人来攻击你的服务器并且还真的攻破了,先想想自己服务器和网站有几次被人攻破的记录,没那么容易的。
tabris17
2020-12-07 09:46:13 +08:00
google authenticator
Hackerchai
2020-12-07 09:46:38 +08:00
@tsukiikekaoru 那如果我的 bitwarden 服务器被攻破了,那 otp 和密码放在一起,这时候不就完全崩溃了
d0m2o08
2020-12-07 09:57:02 +08:00
iOS 用 jsbox 自己撸了一个,通过 dropbox 备份
petercui
2020-12-07 10:06:44 +08:00
1password +1
no1xsyzy
2020-12-07 10:10:49 +08:00
OTP 不得同步、不得备份。
顺便,这似乎是方便、安全、预算不可能三角。想要又方便又安全就上强密码独立计算随身设备(比如 Yubikey ),在该设备的基础上生成一切。

另,我有不少 OTP 只是为了骗过平台解除一些限制。不少平台只要不在不信任的设备(比如网吧)上登录、登录时看准域名、密码够强就行,没上 MFA 的必要,有其他更脆弱的验证方式,MFA 上了也不够安全,OTP 就是防呆。
但这些平台又自作聪明地要求你添加 OTP 才能进行某些操作,那我只好骗过了。
janxin
2020-12-07 10:11:57 +08:00
Microsoft Authenticator
no1xsyzy
2020-12-07 10:13:14 +08:00
@Hackerchai 你 A 被攻破了,有 C 在没事儿啊,别人拿到手也破译不了就行了(指信息安全 CIA 模型)
但我不清楚 bitwarden 是否端到端加密
zzyzxd
2020-12-07 10:13:50 +08:00
我发现懂一些技术、或者有一些动手能力的人,总有一种幻觉,就是“我自建服务器比云服务安全”。bitwarden 软件给你了,接下来,你真的有能力、以及这个精力,保证在整个部署和后期维护的过程中永远遵循所有安全规范吗?你家或者你租的云上的 infra,有没有专业机构帮你做 security audit ?

目前读下来你一直担心自己的服务器被攻陷,那么你可能不适合自己部署密码管理器。

另外,

> 本着二次验证不能和密码管理器放在一起的原则(安全性考虑)

为什么会有这样的原则?两步验证中的第二步存在的意义,是在第一步(密码)被攻陷的情况下给账号提供第二重保护。那么什么时候攻击者能攻陷你的密码呢?
1. 通过密码管理器之外的任何途径知道了你的密码,包括但不限于:多网站复用密码,social engineering……
2. 密码管理器被攻陷。

对于 1,使用密码管理器就能避免。
对于 2,密码管理器自身应该已经有两步验证,这时候你再把 TOTP 凭证放在另一个地方,相当于你把登陆某网站的流程提高到了三步验证。这样当然更安全,但是也要自己考虑考虑是否需要安全到那种程度。
vain
2020-12-07 10:15:55 +08:00
vain
2020-12-07 10:19:39 +08:00
使用 bitwarden,然后将登陆 bitwarden 账号的信息(含 2ND FACTOR )保存在我上边提到的产品中,安全性和便利性一次满足。
tsukiikekaoru
2020-12-07 11:12:00 +08:00
@no1xsyzy 我也是。2FA 除非特殊情况我一般不会开,Google 开了是为了解除异地登录锁定,馒头是为了魔力值加成,其他还真没几个开的,开了也是增加不便,大多数情况单一复杂密码足够了。
olaloong
2020-12-07 11:17:24 +08:00
所以,还有哪家 TOTP 支持 Steam 令牌?目前用的 KeePass + KeeTrayTOTP 插件
tsukiikekaoru
2020-12-07 11:19:37 +08:00
@Hackerchai 我之前的最后一段话说了啊,哪有那么容易攻破服务器,做好服务器登录防护,非必要端口不开,ssh 复杂密码或者密钥登录,乱七八糟的服务不乱跑在上面,做好升级,即便公网环境很恶劣也没那么容易攻破一台服务器,大多数时候还是因为简单密码和服务端口漏洞被人黑进去了。再者退一万步真的被人黑了服务器,没有主密码也很难获得其中的内容。或者像其他人说的与其单独保存每个网站的 2FA,不如只开密码管理软件的 2FA 。
Hackerchai
2020-12-07 11:25:36 +08:00
@zzyzxd otp 不和密码管理器放在一起的考虑就是自建密码管理器有被入侵的风险
lovehigh
2020-12-07 11:37:50 +08:00
用的 keepass+KeeTrayTOTP,steam 也能支持。手机端用 keepass2android,配合坚果云的 webdav 。非常方便。
johnli
2020-12-07 15:52:37 +08:00
@baobao1270 微软这个 OTP 只能单平台同步,iOS 和安卓不能互通,亲测
CrazyBoyFeng
2020-12-11 20:28:11 +08:00
除了微软验证器,我有个补充方案是浏览器扩展 https://authenticator.cc/
支持 chrome 、firefox 、edge 三家扩展。
可以绑定 googledrive 、onedrive 、dropbox 的 api 上传数据进行同步。
tsukiikekaoru
2020-12-19 00:48:54 +08:00
@olaloong bitwarden 就支持 stean totp

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/732674

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX