被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了

2023-11-06 22:26:26 +08:00
 Cloud200

昨晚本人的手机进水突然变砖头,首先想到的就是在备用机恢复微软验证器的二步验证云备份。

但是!因为当时已经有了一些 2FA,想要启用备份。

官网文档讲的的账户页面我根本找不到,无可奈何就想着登录一下,点击启用备份按钮后它居然把我旧手机的两个 2FA 覆盖 上去了!(居然不是合并吗?)

我又点了一下停止备份,结果它又直接把云备份删除了???破大防了一个晚上。

后面才发现,要新设备(新安装的状态)屏幕下的 “恢复” 按钮才能恢复。不知道的人就容易被坑惨,如果应用已经有使用痕迹,就根本找不到一个 恢复按钮

幸好 Bitwarden 有恢复码才幸免于难。差点丢掉仓库访问权限。

来 V 站搜了搜 t/805856 t/882833 t/800538 原来我不是一个人

关闭云备份自动删除,其他设备开启云备份自动全部覆盖,云备份机制太迷了。

26992 次点击
所在节点    信息安全
229 条回复
Helsing
2023-11-06 22:55:33 +08:00
我都是 iOS 钥匙串和 Bitwarden 各放一份,避免一窝端
yumusb
2023-11-06 22:59:29 +08:00
https://v2ex.com/t/983621 趁机打个广告
wongtk
2023-11-06 23:00:19 +08:00
Google 今年更新已经跟着账户备份
Cloud200
2023-11-06 23:01:58 +08:00
@wongtk ~~只有真丢的时候,才能检验可靠性~~ (致命玩笑
PerFectTime
2023-11-06 23:02:00 +08:00
我之前也是,云备份的恢复直接被覆盖掉了。还好那时候的 2FA 只是加的测试,没有出现什么严重后果
shijingshijing
2023-11-06 23:02:19 +08:00
开源+本地备份 才是王道,所有依赖云服务的都不可靠。
zed1018
2023-11-06 23:05:57 +08:00
没遇到过,年年换新都是直接平滑迁移过来的
ncepuzs
2023-11-06 23:06:43 +08:00
印象中 Microsoft Authenticator 已经在本站造成多起“惨案”了
Fish12138
2023-11-06 23:11:10 +08:00
确实 我前两天换手机就被坑了 用的爱思全备份 然后打开啥也没 然后就和你一样
现在是 截图+GOOGLE+微软+apple (四舍五入感觉更不安全了)
bobryjosin
2023-11-06 23:13:43 +08:00
我是整两个 yubikey ,两个 yubikey 都存一份,2FA APP 再存一份,在外面带 yubikey 就用 yubikey 没有就用 APP ,另一把作备份固定地方放好,APP 和其中一把 yubikey 丢了也不会失去控制权,如果恰好全丢了那估计是不可抗力,账号也不么重要了/doge
zhusimaji
2023-11-06 23:14:30 +08:00
啊这,最近 github 要求 2fa ,刚使用上 ma
jecvay
2023-11-06 23:15:39 +08:00
卧槽 吓得我赶紧起床整备份
SnowMountain
2023-11-06 23:22:49 +08:00
iOS 的也不省心,扫完码生成验证码后,弹了一下低电量,再去看被取消了,没保存上,r 星那边已经启用两步验证,怀疑人生
iamjerry
2023-11-06 23:23:56 +08:00
我就是这样中过一次招
被删了

现在改成 1p
weidaizi
2023-11-06 23:35:30 +08:00
看的我顺手扔出之前写的命令行 2fa 工具: https://github.com/MuggleWei/yoauth
本地加密存储,备份只需要复制一份 data 文件到其他地方即可
cnbatch
2023-11-06 23:36:56 +08:00
这就是为什么我坚持在电脑保存一份原始认证码,以及更倾向于搞一套硬件密码器(我还发过提问贴),就算做云端备份也要保留一份手动备份。毕竟完全依赖手机的话,不但一点都不可靠,而且一个意外就能搞得自己手足无措。我就经历过。

只不过有一大堆人迷之自信,觉得“意想不到的状况”一定轮不到自己,认为我的提问不合理,把我狂喷一顿。Naïve!
hazy
2023-11-06 23:53:40 +08:00
以前也一直用的 Microsoft Authenticator ,出于对微软靠谱性的怀疑,上次花了一下午把所有账号的 2FA 重新设置了一遍,全部用 Bitwarden 管理,同时保留一份本地截图和验证器密钥并加密存到云端; Bitwarden 的 TOTP 单独用 Google Authenticator 管理,并打印一份纸质备份,GA 不登录,不给联网权限。
hululu
2023-11-07 00:18:45 +08:00
我今天设置新手机,也遇到问题了,新手机的 app 无论如何都不能恢复回来,一点备份就覆盖云端,幸好就手机 app 有提示可以反覆盖云端,反复试才发现有恢复登陆模式,吓死个人
ovulatingwife
2023-11-07 00:30:46 +08:00
@ladypxy #2 authy 我怎么接收不到 sms
NoOneNoBody
2023-11-07 01:01:51 +08:00
我有时真的很疑惑这个究竟是不是[高]技术人员聚集的地方
分析新闻个个都头头是道,什么都能质疑,但盲信品牌的大有人在

TOTP 是个极容易备份的东西,就是字符串而已,却很多人在这上面栽跟头,全盘备份都能搞定,几个字符串就……
这些帖子看得我一头雾水

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/989278

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX