请问 github 的两步验证（two-factor authentication）大家是怎么做的？

最近收到 github 发来的邮件，要求账户进行两步验证，如果不进行两步验证，那么 45 天之后好像访问受限制了。

我登陆看了一下，可以使用 SMS authentication ，但是进去看了一下，里面没有中国大陆的手机可以选择，压根里面就没有 China 的选项，所以用不了。

另外一种选项是：Setup authenticator app ，提示的方法是：Use an authenticator app or browser extension to scan 。但是我用手机的 Firefox 浏览器的扫码功能试验了一下，无法扫码这个二维码。

请问大家是如何进行两步验证的？

谢谢！

gdb

2023-08-24 09:32:43 +08:00

@skiy 你好，请问你说的 totp 的那串 secret 字符串是哪里可以获取到？我不是很看得懂。是不是在 github 上面显示二维码的时候，就能看到这串 secret 的字符串？不过我已经设置了用 google 的 authentication 的 app 了，还能改么？或者说用很多个 app 都支持这个功能？

skiy

2023-08-24 10:51:02 +08:00

@gdb 你保存它给出来的二维码图片就好了。那字符串不过也就是二维码提取出来的，现在随便一台手机都能读取二维码信息了。再不挤就用个微信扫一下，然后复制下扫出来的链接或者分享给文件助手。

gdb

2023-08-24 11:51:51 +08:00

@skiy 好的，明白，我大概知道你的意思了。但是我已经设置在 google authenticator 了，我如果要重新搞这个二次验证，是否需要重新清除所有的验证信息，全部重新来一遍？

@SimonOne 多谢你前面的回复，我大概理解了，看起来我的手机里面的 google 的 authenticator 的 app 里面的第一栏的动态码应该已经废了，没啥用了。因为能用的只有第二栏的信息。

gdb

2023-08-24 11:55:27 +08:00

@lmone111 谢谢，不过我有个问题，就是这个密钥直接往网上的网址里面写，会不会带来一些安全性方面的问题，能不能比如在本地运行一个 html 的网页，直接让本地的浏览器打开这个网页，然后都在本地操作？

gdb

2023-08-24 12:05:29 +08:00

同学们，我看到 github 里面的 topic ，如下链接：

totp · GitHub Topics — https://github.com/topics/totp

我看了一下，有好多语言开发的，我随便看了几个 python 的，看起来都差不多，就是输入一个 secret 字符串，根据当前的时间，能生成一个密码。

言下之意，我是否不借助任何 app ，直接在 python 或者别的地方也能用？

现在关键的问题是，我昨天用 google authenticator 的时候，那个二维码的图片没有保存，我是不是要重新推倒重来（重新设置过，然后在设置的时候，把二维码保存一下？）

skiy

2023-08-24 12:11:54 +08:00

@gdb 如果你之前有记录下那串字符，或者有下载保存那个二维码，你可以用别的软件添加一下，不会对你在 Google 的有任何影响。但你使用重置方式再添加，那就会有影响（也就是说，原来的失效了，必须重新添加）。

SimonOne

2023-08-24 12:51:39 +08:00

@gdb #127 是可以，但是你猜为什么那个图片只给你看一次呢，如果你把图片泄漏了，那么又会发生什么呢。
安全和便利是难两全的，你如果不想每次都打开 app 的话所以打算自己明文存下来本地计算的话，这套就变成走形式了，不安全了。

你再想想，手机上有 app 可以算，难道电脑上就没了吗，你下个电脑上用的可以带浏览器自动填充的不就行了，比如前面提到的一些密码管理软件 bitwarden,1password 。

然后怕丢失的话，uri 就加密一下存到安全的地方。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/967533

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.