大家的 2FA 不使用单独的设备吗

出门带俩手机感觉好累赘

OP 这也是一种思路，但是感觉每个人需求不太一样，方便和安全就像天平的两端
* 比如用常用的手机，平时在外面要登录就很方便，只要加密存储了，其实也还行啊，而且用厂商的 app 还可以方便的同步
* 再比如我自己，使用 2FA 的账号就只有 google, github 和微软等，登录这些账号时我通常是开着电脑的状态，所以我就只用自己写的 2FA 的命令行工具，本地加密存储，备份也是手动备份在自己的几个服务器上
* 用网页的嘛... emm... 这个好像确实没太必要 😂

2FA 是个用来校验的东西，不参与数据加密，没啥必要用单独的物理设备，及时备份就行了。
像加密货币的助记词才是真正需要物理隔离的东西。

我的观点是不要用同一个软件保存密码和 2FA 就行，比如 bitwarden 等密码管理工具只保存密码，2FA 用其他软件保存。

我认为 2FA 的意义就是这个，两步认证。 如果使用同一个工具做两次认证，那就毫无意义，是为了两步认证而认证。

当然在有条件的情况下，分得越开越好，用硬件 2FA 设备比软件好，离线比在线好，不同设备比同一个设备好。

安全毕竟和便利是相对的，永远不可能只考虑一个。 我认为做到分不同的软件做 2FA 就已经满足基本定义和它设计的出发点了。

丢了 2FA 设备不是更难受吗？

用同一个设备 2FA 的意义在于，可以防范脱裤等密码意外丢失而造成的非法登录，除非你的机器物理丢失并被解锁。

相较而言，前者是很常见的问题，后者可不容易（尤其是 iPhone ）

很多人不想用 2FA ，但是常常被弹窗建议使用，为了避免麻烦，不得不用 2FA

大部分人都是不关心安全，更关心易用与否

我基本所有能开 2FA 的网站都打开了 2FA ，走的 1password 同步，密码是纯随机字符串密码
不考虑 1p 的安全问题的话，主要风险在于如果密码明文被看到/读取剪贴板/键盘记录器等场景，2FA 能起到无法重放的作用。

至于 1password 的安全问题，我觉得是不信任就别用，用的话就得有一定的信任（被攻击/泄露方面）。自己做一下数据备份防丢就行了

当然，我支持楼上提到的，『如果使用同一个工具做两次认证，那就毫无意义，是为了两步认证而认证。当然在有条件的情况下，分得越开越好』
但是主要懒得搞了（我之前 MS authenticator 差点丢数据。yubikey 存 2FA 不是很方便而且容易丢）
真发生泄漏问题，至少可以作为索引挨个网站改密码

@Dreax #2 其实还可以用单片机开发板模拟成 hid 键盘再加个时钟芯片，能做到自动输入验证码， 甚至可以集成到普通机械键盘固件里面。

@hingle #6 2FA 数据的备份应该和密码备份一个级别的

可以准备两个手机，一个常用的，一个只放在家里做备份使用。一定程度上便利性和安全性都有了。2FA 程序最好也别联网，不登陆 google 和微软账号。

软件 TOTP 和硬件 TOTP 的用法不一样啊
硬件是自己带密钥，然后“关联”到账户
软件是由账户所属方发放密钥给你的软件

@zhng920823 你说的 hid 键盘就是 yubikey 那种了