V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
tomoya92
V2EX  ›  问与答

谷歌两步验证器为什么没有同步必要的功能呢

  •  
  •   tomoya92 · 2018-12-01 08:45:31 +08:00 via Android · 6870 次点击
    这是一个创建于 2182 天前的主题,其中的信息可能已经有所发展或是发生改变。

    每次添加密钥到认证器中还要提前把密钥或者二维码保存一下 每次添加密钥到认证器中还要提前把密钥或者二维码保存一下

    如果手机被偷了或者不小心刷机了再要么 APP 被卸载了那么密钥就找不回来了

    认证器不增加同步密钥功能难道是为了安全考虑吗

    40 条回复    2018-12-02 21:36:36 +08:00
    z742364692
        1
    z742364692  
       2018-12-01 08:55:59 +08:00 via iPhone   ❤️ 2
    用密码管理工具自带的两步验证就可以同步了,如 enpass,1password
    Tony042
        2
    Tony042  
       2018-12-01 08:56:44 +08:00 via iPhone
    Microsoft isAuthenticator 了解一下
    Tony042
        3
    Tony042  
       2018-12-01 08:57:17 +08:00 via iPhone
    啊,有个 typo,是 Microsoft Authenticator
    fetich
        4
    fetich  
       2018-12-01 09:00:59 +08:00 via Android
    没有同步功能更安全,想要便捷的可以用第三方的工具
    parametrix
        5
    parametrix  
       2018-12-01 09:04:42 +08:00 via Android
    实际上就是安全问题。多因素认证指的是相互独立的多因素,同步功能基本上是肯定会削弱独立性,比如说同步功能的认证还是帐号密码,那还有什么用。

    此外,如果再不是端对端加密,或者可以脱离手机使用(比如可以在电脑上用),那差不多就只能看作一个强密码了,基本丧失了独立因素的功能。
    totoro625
        6
    totoro625  
       2018-12-01 09:06:08 +08:00 via Android
    我用的 LastPass 附带的 Authenticator
    感谢 1# 原来 enpass 也有
    boileryao
        7
    boileryao  
       2018-12-01 09:10:49 +08:00 via Android
    上次备份直接拖的数据库🙃
    ekousp
        8
    ekousp  
       2018-12-01 09:46:31 +08:00 via iPad
    authy
    maemual
        9
    maemual  
       2018-12-01 09:51:11 +08:00
    我觉得很有可能这个 APP 就是 Google 的客户端工程师随手做的,根本没有考虑这么多。。。。
    lzvezr
        10
    lzvezr  
       2018-12-01 10:05:00 +08:00 via Android
    @maemual 可能因为协议随便用,自家的就做个演示版本吧
    tomoya92
        11
    tomoya92  
    OP
       2018-12-01 10:15:10 +08:00
    @maemual #9 确实就是个 demo,其它家的也不太想用,我已经把几个开启了两步验证的网站给关了
    0312birdzhang
        12
    0312birdzhang  
       2018-12-01 10:18:37 +08:00
    其实核心代码相当简单,利用 java 的库几行代码就搞定了, 可以自己写一个。
    ladypxy
        13
    ladypxy  
       2018-12-01 10:19:00 +08:00 via iPhone
    Google 的那个就是垃圾,推荐用 authy
    reus
        14
    reus  
       2018-12-01 11:33:05 +08:00
    服务器不暴露获取密钥的接口显然更安全,物理分发是更安全的,物理做不到,那你手工操作一下也比调接口好

    “如果手机被偷了或者不小心刷机了再要么 APP 被卸载了那么密钥就找不回来了”
    一般都会给你一些备用码,那些就是给你更换密钥用的。
    Youngda
        15
    Youngda  
       2018-12-01 11:42:49 +08:00 via Android
    authy+1,以前用谷歌的不知道有同步功能…被坑过
    kev0709
        16
    kev0709  
       2018-12-01 11:58:34 +08:00 via Android
    本地的是最安全的 不信任云厂商 目前用的是 andOTP
    chantan
        17
    chantan  
       2018-12-01 12:05:42 +08:00 via iPhone
    被谷歌验证器坑过一次 转 authy 了
    sobigfish
        18
    sobigfish  
       2018-12-01 12:06:42 +08:00   ❤️ 1
    我被 OTP Authenticator 坑的最惨是暴雪的,手机维修前用密码备份过(加密码备份会备份到 keychain )
    结果因为换过机,备份还原了那个 key 还是还原不到,D III 账号就再也进不去了...

    其实密钥被称之为密钥,本身就应该只是本地存储,不经过网络传输(传输的过程就增加了泄露的风险)
    Google 那个当然也有可能只是 Google 的玩具
    kwlokip
        19
    kwlokip  
       2018-12-01 12:09:50 +08:00 via Android
    andOTP
    mangoDB
        20
    mangoDB  
       2018-12-01 12:14:08 +08:00 via Android
    @totoro625 请教一下,lastpass 的 Authenticator 在手机端也有吗?
    whwq2012
        21
    whwq2012  
       2018-12-01 12:16:21 +08:00 via Android
    同步的反而不敢用
    whwq2012
        22
    whwq2012  
       2018-12-01 12:20:13 +08:00 via Android
    谷歌身份验证器最恶心的地方是无法本地备份,微软的就可以
    totoro625
        23
    totoro625  
       2018-12-01 14:47:26 +08:00 via Android
    @mangoDB 有的
    mangoDB
        24
    mangoDB  
       2018-12-01 14:48:50 +08:00
    @totoro625 找了一圈没找到,求指点。感谢~
    oonnnoo
        25
    oonnnoo  
       2018-12-01 17:03:58 +08:00 via iPhone
    同步?那就集中存储,不安全。

    不过如果有个导入导出的功能就好了。
    现在只能手动,扫描二维码前,把二维码保存下来,作备份。
    tomoya92
        26
    tomoya92  
    OP
       2018-12-01 17:13:10 +08:00 via iPhone
    @oonnnoo 对,导入导出也好呀。。
    honeycomb
        27
    honeycomb  
       2018-12-01 17:15:15 +08:00 via Android
    因为第一个没有设计,因为两步验证会强迫你准备好备用方案,第二个原因是导出密钥生成 secret 要仔细考虑的,如何能安全方便地导出它且不遭受滥用?

    Google 的想法是,用 U 盾吧
    crab
        28
    crab  
       2018-12-01 17:15:40 +08:00
    同步和导出导入可能都是考虑安全问题吧。一次性只能有改变情况重新生成。
    tomoya92
        29
    tomoya92  
    OP
       2018-12-01 17:22:21 +08:00 via iPhone
    @honeycomb 其实导出只需要把密钥复制到系统剪切板里就行了,没必要导出文件
    honeycomb
        30
    honeycomb  
       2018-12-01 18:58:42 +08:00 via Android
    @tomoya92 可以参考一下 andotp 的导出方法,允许明文,psk 或者证书加密的形式。

    实际上有个简单的办法(不一定适用),找到 Google authenticator 的私有目录就可以了,密钥明文存在它的数据库
    oisc
        31
    oisc  
       2018-12-01 19:02:51 +08:00
    1password 和 lastpass enpass 什么的都支持添加 OTP 的
    SingeeKing
        32
    SingeeKing  
       2018-12-01 20:30:24 +08:00   ❤️ 1
    密码管理器:1password 带 OTP 的功能
    如果只想用 OTP,那么全平台同步的 Authy 是不二之选
    WilliamLin
        33
    WilliamLin  
       2018-12-01 20:31:27 +08:00 via Android
    推荐用 authy
    WangkingNight
        34
    WangkingNight  
       2018-12-01 20:33:59 +08:00
    首先考虑这 app 已经停更一年了,在与其他 app 对比。
    另外,可以使用 keepass 的 otp 插件和其他同类软件进行同步。
    d5
        35
    d5  
       2018-12-01 21:02:21 +08:00 via iPhone
    authy 可解,其实更推荐 1password
    crab
        36
    crab  
       2018-12-01 21:06:23 +08:00
    @WangkingNight 最近更新 2018 年 9 月 12 日
    realzsy
        37
    realzsy  
       2018-12-01 22:33:36 +08:00 via Android
    authy+n
    agagega
        38
    agagega  
       2018-12-02 12:47:26 +08:00 via iPhone
    @crab 更新内容是「支持 iPhone X 」…
    totoro625
        39
    totoro625  
       2018-12-02 21:32:03 +08:00 via Android
    totoro625
        40
    totoro625  
       2018-12-02 21:36:36 +08:00 via Android
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1923 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:18 · PVG 00:18 · LAX 08:18 · JFK 11:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.