这是一个创建于 1676 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前的两步验证( Two-factor authenticator )需要一个类似于 Microsoft authenticator 的手机 APP 。如果遇到系统大更新,保不准就会出现软件崩溃问题。如果做成一个单独的硬件,则可以避免这个问题。
但两步验证的硬件似乎只有类似 Yubico,目前没有很多开发商支持这个协议。但是如果可以使用 Microsoft authenticator 常用的作为时间的函数的数字验证码等我方式来做,可以减少很多兼容性问题。
我查了一下淘宝和本站,好像还没有关于类似的硬件的讨论,请问大家知道有类似的硬件出现吗?
 | 1 zjyl1994 2021-04-29 19:43:14 +08:00  2 这个规范叫 TOTP,如果记录了自己的 key 的话(就是添加时扫的那个码),可以找其他软件生成。比如说 keepass,authy |
 | 2 Dreax 2021-04-29 19:56:46 +08:00 1 |
| 5 zjyl1994 2021-04-29 21:05:02 +08:00 确实有现成的,2 楼那个就是,但是账号太多的话需要买一堆,有点难搞哦 |
 | 6 Angdo 2021-04-29 21:10:00 +08:00 via Android 还不如直接 u2f |
 | 7 Tianao 2021-04-29 21:33:44 +08:00 3 又一说一,买个 iOS 设备,专门用来装 Microsoft Authenticator,我的还没崩过。专用的 iOS 设备,这也算是单独的硬件了。 |
 | 8 touchwithe 2021-04-29 21:53:28 +08:00 via iPhone 1password 就支持,云同步,也不怕丢。 |
 | 9 xenme 2021-04-29 22:17:56 +08:00 via iPhone 1 开放标准比如 totp,标准算法,软件就可以生成,没必要硬件。 私有算法或者实现如 rsa/yubico/gemalto 等密钥和算法可以自己控制,然后写入硬件生成 token 专有的就 fips,有硬件级别防破解设计 等等 |
 | 10 wooyuntest 2021-04-29 22:30:22 +08:00 yubikey |
 | 11 dingwen07 2021-04-29 23:00:56 +08:00 via iPhone Microsoft Authenticator 支持云备份,没有这个问题 大多数硬件令牌都是 TOTP 或 HOTP,一个带显示屏的东西,国外很多公司都在做,国内银行也有用,缺点是只能存储一个凭据而不是 YubiKey 的 32 个。 国内更好的 OTP 2FA 方案是手机验证码,因为没有国外的 Sim Swap 风险,要不然就直接上 WebAuthn,目前兼容性没有问题。 |
 | 14 JoJoJoJ 2021-04-30 08:13:33 +08:00 via iPhone 我买了 2 个 yubikey |
 | 15 kangzai50136 2021-04-30 08:44:23 +08:00 以前玩梦幻买过将军令,这种东西算不算两部验证哈哈哈。 |
 | 16 chroming 2021-04-30 09:03:11 +08:00 公司内部 TOTP 系统对接过密钥写死在硬件里的 TOTP 硬件令牌,绑定令牌时需要手写密钥,并且使用几年会存在时钟不准的问题,不适合直接替换软件令牌。 要替换软件令牌的硬件我觉得需要符合以下条件: 1. 支持用户输入密钥; 1. 支持绑定多个 OTP 密钥(多个网站可以绑定同一个令牌); 2. 最好能长期使用,如果会过期需要有替换方案。 |
| 17 chroming 2021-04-30 09:05:00 +08:00 绑定令牌时需要手写密钥-->绑定令牌时需要在绑定的网站手写硬件自带的令牌; 1. 支持用户输入密钥;--> 1. 支持用户实际使用时输入待绑定网站生成的令牌,而不是直接出厂写死在硬件中; |
 | 18 yulitian888 2021-04-30 09:05:03 +08:00 1 那不就是银行的 U 盾? |
 | 20 Veneris 2021-04-30 09:11:56 +08:00 借楼问一句,这种硬件能不能防止破解 /复制呢? |
 | 21 zhuawadao 2021-04-30 09:20:17 +08:00 将军令? |
 | 22 no1xsyzy 2021-04-30 09:25:34 +08:00 1 @dingwen07 Out-of-band,独立信道 甚至身份验证要求低的可以不作为 2FA,作为单一身份验证。 顺便,其实 Lastpass Authenticator 在大部分情况下是一个 OTP 的同时也实现了一个 OOB (在手机上点击来允许登录) 参考 NIST SP800-63B |
 | 23 tankren 2021-04-30 09:32:07 +08:00 Microsoft Authenticator/Authy |
 | 24 Judoon 2021-04-30 09:32:30 +08:00 绑定二次验证的时候,多拿几个设备扫码绑定不就得了,两个手机外加浏览器插件,起码可以 4 个地方查到,就解决了原始的问题:系统更新,软件奔溃 是你三四个设备同时奔溃概率大还是这个硬件设备坏了的概率大呢 |
 | 25 huangmingyou 2021-04-30 09:40:08 +08:00 1 yubikey 挺好,模拟成键盘,手指触摸一下自动输入。和很多带显示屏的设备不一样。 但是也有缺点,比如你想把一次性密码发给同事的时候,要是身边没电脑,yubikey 都没办法知道密码。 不知道新款 yubikey 是否能带显示功能。 |
 | 26 cominghome 2021-04-30 09:42:56 +08:00 不需要硬件吧?绑定后如果更换手机找管理员解绑是不是就可以了?(我目前用到这玩意的场景都可以这么做) |
 | 27 imnpc 2021-04-30 10:05:21 +08:00 1 目前软件方面 推荐 Authy 和 Microsoft Authenticator ,可以备份 /同步到其他设备, 硬件方面 在支持 U2F / WebAuthn 的网站上可以考虑使用 YubiKey / 谷歌泰坦 / 飞天诚信 的安全密钥, 如果要直接显示数字的 TOTP 硬件,现在用的比较少了,并不推荐 |
28 clf 2021-04-30 10:09:01 +08:00 1 你弄个自己搭建的 bitwarden,支持二步验证和密码存储,数据全部存在服务器上,同时可以在手机端和电脑端同步以及备份。 后期打算换成其它软件了,bitwarden 还能直接看到原来的 key 是多少,直接导入到新的 app 里就行。 另外就是 anthy 印象里有账号同步功能。 |
 | 29 Yangz OP @huangmingyou 原来模拟了一个 HID 装置啊!有趣 |
 | 30 titanium98118 2021-05-25 11:41:05 +08:00 microsoft authenticator 支持云备份。 如果不放心放在云端,就用 keepass,用密码+私钥验证数据库,数据库同步到 2-3 网盘,私钥自己离线存放好。 |
Select Language