使用 Google Authenticator 被坑了

我用 pass-otp 。
https://github.com/tadfisher/pass-otp

@cairnechen 我才注意到他说的是扩展，按字面意思理解应该是不可能的，他应该想表达的是第三方程序

@spediacn
使用 Windows 提供的 api 加密，如果电脑不开机状态下硬盘中对应数据是加密的

Android 平台推荐开源的 andotp，没有任何云功能，靠自己备份

@maleclub 第零：不要把 2FA 和其他账户密码放在一起。

Authy

@2i2Re2PLMaDnghL 为何？既然统一放密码管理软件了，我为嘛还要分开？原因何在？

@Microseft 请你看下 sp800-63b，其实 OTP 的作用应当是**取代密码**作为常用登录手段，而密码作为备份登录手段。

主要还是涉及金钱交易或波及许多人才需要上 AAL2，比如按楼下的比方，digitalocean 账户如果被攻击者控制，可能会篡改 DNS 记录把用户引到攻击者的钓鱼平台上，让用户给这个钓鱼平台付费。再者，如果 pythonhosted 网站 DNS 被篡改，就可能让大量用户下载到带有恶意代码的内容（想起好像 CPAN 似乎被搞过破坏，那时官方第一时间宣告，不要从 CPAN 下载任何内容）。
但如果你的网站根本不涉及金钱交易也不是基础设施，就是个很随便的个人博客，那你显然不需要 AAL2 。
至于 AAL3 是不太可能个人用户需要使用的，该用得上的时候不会有人想要偷懒的。不排除有可能是核弹发射设施或者宙斯盾控制中心。

@tammy 邮件验证码也是一种 2FA，只不过不是 TOTP （ time-based one time password ），而是 OOB （ out-of-band ）
你这是在通过把 OTP 记录到密码管理器一起，实际上是破坏 2FA，根本不构成任何论证，反而是再次说明了什么叫『 2FA 就是坑自己』，只不过这里是 DO 强制你坑自己，你决定绕过它，从而使得 2FA 不会坑你自己（这段话有点饶舌）。
（不过，如上所述，在某些情况下破坏 2FA 也是可接受的。你是自由的，一切优劣该由你独断）

@maleclub 简单地说：放一起那就不叫 2FA 了

我用 bitwarden

@2i2Re2PLMaDnghL ？？？ 1password 或者 keepass 等密码管理软件通过保存 otp 的键值来生成 totp 动态密码？这不安全？难道软件设计有问题？

@2i2Re2PLMaDnghL 我明白你的意思了，敬慎考虑确实不应该放在一起

GA 遇到过，后来换了 1P，再也不担心了

@skfu 设置-密码-随便点一个-设置验证码

免费海外 301 跳转系统，专注解决被墙域名，最新 100%跳转成功，不限域名不限内容，官方网站： https:guoqiang301，没有任何收费项目注册即用

GA 可以导出啊. 现在是 2 个手机刚好互相备份

@maleclub 当时刚被主管叫住一时发出来了，现在看下我说得有点谜……
你能自己搞懂也是挺厉害的。

keepassxc 官方文档建议把 otp 放另一个数据库
keepassxc[.]org/docs/#faq-security-totp

1password 也有相关的，并且明确指正一个误区，TOTP 不一定等于 2FA
blog.1password[.]com/totp-and-1password/#totp-isnt-the-same-as-two-factor-security

他们都对此作出了权衡，或者说实现了功能允许用户作出权衡。
『一切皆 trace-off 』…… 我可能确实太苛刻了。

提点怪的：
微软是彻底玩透了，干脆取消密码，直接上 TOTP （安全性不亚于密码，甚至不少现实条件下反而更好）
medium 则是我从来没见过密码，只有 OOB （只能给邮箱发登录链接）

最开始我也用 google authenticator，后来想设备同步切换到了 Authy 。目前方案是用 keepass 来管理，手机端直接通过坚果云同步数据库就行，TOTP 也没问题。

@lovehigh 我现在是 keepassxc + syncthing 。唯一不足的就是 keepassxc 没有手机端。

@hw028 😂为了证实你的说法。我删了。然后要爬墙用 play 恢复数据才行。我一直以为是同步到 onedrive 上。现在才注意到只同步密码