大家怎么保存 2FA 的 recovery key?

2021-06-25 22:27:31 +08:00
 cielpy
今天看到这位 v 友的遭遇 https://www.v2ex.com/t/785645 ,后又想起来有次换手机恢复备份后发现 Google Authenticator 列表是空的吓了一跳,感叹一下备份 recovery key 还是很重要的,然后重新整理了一遍 recovery key,但是 recovery key 怎么存放又是个问题,随便放吧,也弱化了 recovery key 的作用,想了几个办法

1. 都打印出来,随身带着,麻烦了点
2. 放密码管理器里,2FA 和密码管理器放一起本身就是件很奇怪的事,放一起似乎 2FA 也相当于没有了,所以 recovery key 同理,我觉得放在密码管理器里也是不合适的
3. zip 加密码,丢到云盘上,密码和密码管理器的密码同等对待
4. zip 密码有被破解风险,放到另外一个密码管理器账户里
5. 保证 2FA 信息不丢失?用有云同步的 Authenticator ?

考虑到目前账号里都没有几百个比特币,没有那么高的安全要求,目前自己在用 3

大家是怎么保存自己的 recovery key 的呢?
3119 次点击
所在节点    问与答
27 条回复
Hardrain
2021-06-25 22:46:56 +08:00
1. truncate 创建一个空白文件
2. cryptsetup 在上面建立 LUKS 卷
3. LUKS 卷中建立 ext4 文件系统(其他文件系统也行,但最好是日志式的 POSIX 文件系统)
4. recovery code 存进去

Windows 的上 VHD+Bitlocker 应该能作为等效的方案.
Wolfsin
2021-06-25 23:06:21 +08:00
不记 recovery key,除了 Authenticator 外绑定其他方式备用。
v2tudnew
2021-06-25 23:20:39 +08:00
为何要随身携带?这 2FA 本来就是用 APP 存放的,只是 key 你再用两个 U 盘冷备份一遍就可以了,怎么加密随你。
如果担心一个 APP 突然失效的话,你可以两个 APP 一起用,反正只是一串字符而已。
v2tudnew
2021-06-25 23:23:37 +08:00
你说的是恢复密钥,但是本身扫描的二维码也是一串字符,同样也可以保存。
ZeroYe
2021-06-25 23:26:47 +08:00
不保存 recovery key,用 Authenticator 导出 2FA 数据库定期备份
Spoience
2021-06-26 00:21:39 +08:00
打印成二维码。。妥善保存。
lovestudykid
2021-06-26 00:37:51 +08:00
authy 可以同步
pinepara
2021-06-26 00:50:13 +08:00
打印出来跟其他重要文件一起存放。
Recovery key 主要使用场景就是在(所有)常用电子设备损坏或者丢失的时候,让你可以在新设备上登录账号用的。所有 digital 存放方式都不合适。
mschultz
2021-06-26 01:13:27 +08:00
我也时常思考这个问题,然后 Google Advanced Protection Program 给了我一个提醒就是,也许我们觉得对 2FA 的保存方案无所适从,一定程度上是因为 TOTP 形式的 2FA 密钥和账号密码的形式太类似了——它们本质上都是一串不想被别人看到的字符串。

以前,大家使用简单密码,密码记在脑子里,2FA 存在手机里(如 Google Authenticator ),如果简单密码通过网络远程泄露了或被猜中了,还有 2FA 保护;
现在,大家用密码管理器了,密码也存在手机里,同时 2FA 还在手机里,密码和 2FA 在同样的地方,我们自然就觉得怪怪的了。

现在,密码在密码管理器里(手机或电脑里),人们想,2FA 应该放在一个威胁模型、可能的泄露方式都与密码管理器 [大大不同] 的介质中,才显得 2FA 真的有用。实际上这种介质不是很好找……

Google Advanced Protection 给出的方案是强制 2FA 只能用硬件。我想 Touch ID 、Face ID 之类的也是可能的解决方案。2 FA 硬件的备份当然很传统,要求没那么高的就买 2 个,一个放家里,一个平时带着用。要求高的自行发挥想象力,什么银行保险柜之类的都可以整。
crab
2021-06-26 01:46:02 +08:00
直接把当时二维码图片保存,没了再扫一次就可以了。
dingwen07
2021-06-26 04:55:27 +08:00
用 PGP 或者 EFS 加密一遍到处放
PGP 、EFS 证书私钥放在 YubiKey 里
n1dragon
2021-06-26 06:23:00 +08:00
Authy 自动同步,一直很稳定,而且多端使用
cnnblike
2021-06-26 06:35:33 +08:00
打印出来放在家中,和自己随身的电子设备形成两种不同形式的备份,除非是 EMP+导弹,不然基本上都没问题的
Maskeney
2021-06-26 07:27:47 +08:00
所以不要用 google 这个残废品,微软的 authenticator 已经可以充当一个完整的密码管理器了,自带同步功能永远不怕丢
hafuhafu
2021-06-26 08:19:52 +08:00
我用 Microsoft Authenticator 管理二步验证,恢复码全丢放在坚果云里面的 KeePass,然后不定时再备份一次,这个 KeePass 数据库也只用来存类似这些的数据。平时用的密码管理器是别的。
Tezos
2021-06-26 09:11:44 +08:00
Google Authenticator 好像只能转移到别的设备 不能导出 key 吧
wdssmq
2021-06-26 09:43:57 +08:00
@Hardrain #1 我之前使用 cryptomator 加密,然后用 Resilio Sync 在自己的设备间同步备份,然后觉得加密太麻烦就直接明文了 - -
miaoever
2021-06-26 14:22:15 +08:00
两个物理 Yubikey, 异地备份
Lemeng
2021-06-26 17:19:42 +08:00
同步的 authy 就好
charlie21
2021-06-26 17:24:45 +08:00
如果直接用你的常用手机号收短信做两步验证,那么你是不需要 recovery key 的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/785855

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX