V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zhng920823
V2EX  ›  问与答

大家的 2FA 不使用单独的设备吗

  •  
  •   zhng920823 · 2023-11-07 16:15:13 +08:00 · 1209 次点击
    这是一个创建于 386 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看了那个丢了 2FA 的帖子,貌似用了常用的手机,一些回帖好像也用的常用手机!

    甚至有些直接用网页工具的。这样完全失去了使用 2FA 的意义了。

    理论上这个东西应该放在物理隔离的设备上。

    替换下来的手机就是很好的选择,不插卡不连 wifi 。偶尔手动给它校准下时间就行。

    13 条回复    2023-11-08 12:51:41 +08:00
    0DBBFF
        1
    0DBBFF  
       2023-11-07 16:22:22 +08:00 via iPhone
    出门带俩手机感觉好累赘
    Dreax
        2
    Dreax  
       2023-11-07 16:29:35 +08:00
    weidaizi
        3
    weidaizi  
       2023-11-07 16:34:59 +08:00   ❤️ 1
    OP 这也是一种思路,但是感觉每个人需求不太一样,方便和安全就像天平的两端
    * 比如用常用的手机,平时在外面要登录就很方便,只要加密存储了,其实也还行啊,而且用厂商的 app 还可以方便的同步
    * 再比如我自己,使用 2FA 的账号就只有 google, github 和微软等,登录这些账号时我通常是开着电脑的状态,所以我就只用自己写的 2FA 的命令行工具,本地加密存储,备份也是手动备份在自己的几个服务器上
    * 用网页的嘛... emm... 这个好像确实没太必要 😂
    cheng6563
        4
    cheng6563  
       2023-11-07 16:48:23 +08:00
    2FA 是个用来校验的东西,不参与数据加密,没啥必要用单独的物理设备,及时备份就行了。
    像加密货币的助记词才是真正需要物理隔离的东西。
    Greenm
        5
    Greenm  
       2023-11-07 16:53:03 +08:00   ❤️ 1
    我的观点是不要用同一个软件保存密码和 2FA 就行,比如 bitwarden 等密码管理工具只保存密码,2FA 用其他软件保存。

    我认为 2FA 的意义就是这个,两步认证。 如果使用同一个工具做两次认证,那就毫无意义,是为了两步认证而认证。

    当然在有条件的情况下,分得越开越好,用硬件 2FA 设备比软件好,离线比在线好,不同设备比同一个设备好。

    安全毕竟和便利是相对的,永远不可能只考虑一个。 我认为做到分不同的软件做 2FA 就已经满足基本定义和它设计的出发点了。
    hingle
        6
    hingle  
       2023-11-07 16:53:51 +08:00
    丢了 2FA 设备不是更难受吗?
    shyrock
        7
    shyrock  
       2023-11-07 17:05:23 +08:00   ❤️ 1
    用同一个设备 2FA 的意义在于,可以防范脱裤等密码意外丢失而造成的非法登录,除非你的机器物理丢失并被解锁。

    相较而言,前者是很常见的问题,后者可不容易(尤其是 iPhone )
    totoro625
        8
    totoro625  
       2023-11-07 17:11:10 +08:00 via Android   ❤️ 1
    很多人不想用 2FA ,但是常常被弹窗建议使用,为了避免麻烦,不得不用 2FA

    大部分人都是不关心安全,更关心易用与否
    zsh2517
        9
    zsh2517  
       2023-11-07 17:23:42 +08:00   ❤️ 1
    我基本所有能开 2FA 的网站都打开了 2FA ,走的 1password 同步,密码是纯随机字符串密码
    不考虑 1p 的安全问题的话,主要风险在于如果密码明文被看到/读取剪贴板/键盘记录器等场景,2FA 能起到无法重放的作用。

    至于 1password 的安全问题,我觉得是不信任就别用,用的话就得有一定的信任(被攻击/泄露方面)。自己做一下数据备份防丢就行了

    当然,我支持楼上提到的,『如果使用同一个工具做两次认证,那就毫无意义,是为了两步认证而认证。当然在有条件的情况下,分得越开越好』
    但是主要懒得搞了(我之前 MS authenticator 差点丢数据。yubikey 存 2FA 不是很方便而且容易丢)
    真发生泄漏问题,至少可以作为索引挨个网站改密码
    zhng920823
        10
    zhng920823  
    OP
       2023-11-07 21:52:44 +08:00
    @Dreax #2 其实还可以用单片机开发板模拟成 hid 键盘再加个时钟芯片,能做到自动输入验证码, 甚至可以集成到普通机械键盘固件里面。

    @hingle #6 2FA 数据的备份应该和密码备份一个级别的
    yhrzpm
        11
    yhrzpm  
       2023-11-08 03:36:05 +08:00
    可以准备两个手机,一个常用的,一个只放在家里做备份使用。一定程度上便利性和安全性都有了。2FA 程序最好也别联网,不登陆 google 和微软账号。
    julyclyde
        12
    julyclyde  
       2023-11-08 12:51:06 +08:00
    软件 TOTP 和硬件 TOTP 的用法不一样啊
    硬件是自己带密钥,然后“关联”到账户
    软件是由账户所属方发放密钥给你的软件
    julyclyde
        13
    julyclyde  
       2023-11-08 12:51:41 +08:00
    @zhng920823 你说的 hid 键盘就是 yubikey 那种了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3023 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:53 · PVG 22:53 · LAX 06:53 · JFK 09:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.