关于 2FA 和密码

143 天前
 198plus

现在许多网站都要求强密码,2FA 甚至 n-FA ( n factor authentication)。 但是我一直觉得这其实就是安全责任转嫁: 在用了这些措施之后,账号安全性就大大提升了,但是我自己登不上自己的号的概率也大大增加了。

  1. 我不可能记住所有的强密码,甚至 2FA recovery code 都不是我自己能设置的
  2. 我只能把强密码/2FA code 保存在某个地方
  3. 保存在的这个地方也需要一个密码来保护,只要这个密码对应的关卡以某种形式陷入不安全,甚至保存这些密码的地方不安全,那么上面做的所有事情都是徒劳。
  4. 如果我不把这些 code 记在某个地方,如果我手机丢了/换手机忘记迁移/等等情况发生,我立刻就登不上我的所有帐号了。

我自己的解决方案就是放弃保护这些强密码/2fa code 。我现在全部都放在 yuque/网盘/qq 微信的收藏里面,反正我自己的信息也不值钱没人要。

不知道 v 站老哥们怎么看这件事。

3072 次点击
所在节点    信息安全
26 条回复
kasusa
142 天前
我用的是微软的 authicator 。但是我觉得 ui 不好看。
而且软件好像不能删除,key 都是存本地的。不过好在之前苹果手机转移资料时候都能把这些 2fa 也搬家过来。
edwardzcn98
142 天前
先破除幻想,便捷性和安全必须做取舍,举几个例子。
1. 2FA / n-FA 启用与否
- 多因素(多步骤)验证,你可以理解成 key->key->key 钥匙链,少一个都过不了
- 安全性换来了什么,你弄丢某个 key 都会导致没办法验证(所以都是 2FA 而非 nFA 是一个现实情况的取舍)
2. 绝对离线( KeePassXC )和多端同步( 1Password/Bitwarden )
- 上云就意味着你的密码可能通过不信任的信道传输(不管传输加密与否)
- 1P 宣传自己端端是 zero-knowledge 加密,你能自行验证吗?验证的代价是会影响传输的性能
3. 依赖 Chrome 的密码本或者系统钥匙串,还是必须独立密码管理软件(上面几个)
- 前者当然用的爽,无感填充强密码还帮记录,依赖 DPIPC 就意味着用着系统会话窗口对密码全接管,代价是 IPC 被 hack 就完蛋。
- 前者多一层鉴权,但即便是你自己用着信任的电脑也要每次输入密钥( PS 密钥还不能明晃晃放到桌面上,我在回复里就看到有人这么干,不做评价)。
deepzz
139 天前
iOS 用户试试 [AuthONE Authenticator]( https://apps.apple.com/app/authone/id6467347432?at=web) ,数据是保存在 iCloud 上的
raycheung
138 天前
推荐一下 Bitwarden ,介意云端的话可以自建后端托管
Fellow
119 天前
@deepzz 大佬您好,我是您产品的用户。我很喜欢您的产品,可惜现在手机拿去维修了就用不了了,只能用 V 站的小号发言。我看官网上说会有 Apple Watch 的支持,请问什么时候会有呢?
deepzz
116 天前
@Fellow 可以安排上,最迟 3 月中旬

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1105650

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX