这是一个创建于 433 天前的主题,其中的信息可能已经有所发展或是发生改变。
一直用 GA 管理二次验证的验证码,最近感觉 GA 不是很好用:数据重复、国区 App Store 不支持下载、更新。发现苹果的“密码”也可以管理二次验证码,使用起来也比较方便,不过有点担心密码和 2FAS 的验证码放到一起会不会有安全隐患
 | 1 bestie 2024-09-25 23:00:05 +08:00 我也想过这个问题,如果主密码被爆,那么 2FAS 形同虚设,不知道有没有更好的理解。 我暂时没把 2FAS 迁移到密码。 |
 | 2 marvyn 2024-09-25 23:06:03 +08:00 不放在一起,用两个 App 来回切吗? 既然 Apple 密码、微软 Authenticator 、1Password 、Bitwarden 等主流软件把密码和 2FA 都放在一块,应该是没有问题的 |
 | 3 drymonfidelia 2024-09-25 23:19:07 +08:00 肯定有隐患,因为密码管理器是 auto-fill 的,没有输入密码的过程,不需要防偷窥,这样 2FA 的唯一意义就只有形式主义安全,让网站以为你安全了 如果你的软件比较垃圾没办法直接 auto-fill 只能复制粘贴的话还有防读剪贴板的功能,TOTP 过期失效,不过要目标网站做了 TOTP 用一次自动失效的设计,不然 30 秒内还是能拿偷到的 TOTP 登录 |
| 4 drymonfidelia 2024-09-25 23:20:23 +08:00 @drymonfidelia 总之放在一起还没有短信验证当 2FA 安全,对别人没有价值的账号可以这么做 |
| 5 drymonfidelia 2024-09-25 23:21:39 +08:00 @drymonfidelia TOTP 用一次自动失效的设计 > TOTP 用一次后立即失效的设计 我测试过,80%网站都没做这个功能 |
 | 6 hafuhafu 2024-09-26 08:26:41 +08:00 我觉得不合理,我是分开的。 放一起存无非就是图省事而已,但是在一些情况下失去了 2FA 本身的意义,颇有种不得不用 2FA ,所以才启用的感觉。 |
 | 7 loli 2024-09-26 09:24:27 +08:00 本来就是一个折衷的方案 真要纠结起来没完没了 既然认为放密码管理器中的 2FA 会泄露 那么为什么会相信放密码管理器的其他密码就安全了? 2FA 对网站来说防止弱密码,防止重复密码(社工库碰撞) 对个人来说防止当前站点数据泄露或极低几率的意外碰撞 大型网站可能每天都有很多人在尝试登录你的账号 Bing 搜索 查看你的 Microsoft 帐户的最近登录活动 虽然在我这大部分登录失败的原因是 输入的密码不正确 |
 | 8 CodeMiao OP @drymonfidelia #4 我也这么觉得。 |
| 9 CodeMiao OP @marvyn #2 放在一起是方便了,但是也失去了二次验证的部分特性,降低安全性。例如 macOS 上,Apple 的“密码”应用是不能设置独立密码的,通过 Mac 的密码就可以访问。好比某天请假笔记本放在了公司,有一份文件在电脑中需要用到,把开机密码给同事协助操作,这个场景下,同事就可以导出你所有密码和 2FA 验证码。如果 2FA 独立存在手机上,即使同事拿到你的密码也登录不了账户。(只是举例,大多数同事还是讲道德的) |
| 10 CodeMiao OP @loli #7 二次验证的场景是密码泄漏用来兜底的。密码和 2FA 是否放在一起对于撞库、脱库这种事件确实没什么影响。但是如果密码管理软件泄漏了,密码和 2FA 放在一起,那就没个兜底的了。一个锁需要 2 把钥匙才能打开,我们却把 2 把钥匙放在了一起 |
 | 11 dilidilid 2024-10-14 02:06:24 +08:00 不安全,理想的做法是 TOTP 只保存在相对隔离的设备比如未越狱的 iPhone 上并关闭所有云同步 |
Select Language