V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
frankyzf
V2EX  ›  信息安全

如何保存二次验证的 code

  •  
  •   frankyzf · 2023-05-17 21:49:13 +08:00 · 2545 次点击
    这是一个创建于 563 天前的主题,其中的信息可能已经有所发展或是发生改变。

    请问大家是如何保存的,二维码截图还是别的方法?用两个设备同时扫描初始二维码可行吗,有什么弊端?

    14 条回复    2023-05-18 11:40:42 +08:00
    wwulfric
        1
    wwulfric  
       2023-05-17 22:07:58 +08:00
    1password 正好有这个功能,保存这个 otp 码之后可以自动填充实时二次验证 code
    xloong
        2
    xloong  
       2023-05-17 22:14:28 +08:00
    可以二维码截图自行保存

    2 个设备可以

    理论上二维码内是一段密钥, 对密钥进行加密计算后, 才是动态码
    因此设备的多寡并无关系
    x86
        3
    x86  
       2023-05-17 22:16:41 +08:00
    相册-收藏-iCloud
    sencat31
        4
    sencat31  
       2023-05-17 22:22:12 +08:00
    背下密钥,要用的时候口算出来。
    mschultz
        5
    mschultz  
       2023-05-17 22:23:14 +08:00   ❤️ 3
    可行;可以使用多个 Authenticator 如 Google Authenticator 、Microsoft Authenticator 、iCloud Keychain 、Authy 等依次扫描该码,这样你就获得了多份备份。这个二维码只是编码了一个静态的密钥,形如:

    otpauth://totp/Google:whateverusername?secret=ABCD123456DCBA

    TOTP 就是基于这个密钥 + 当前设备时间,生成一个通常是 6 位数的验证码。所以,理论上只要你备份这个密钥就可以。

    上述各种 Authenticator 扫码之后,通常只会给你显示 6 位数验证码,而不会再次允许你查看明文密钥。但其实这不是什么大事,比如假设你使用 1Passowrd 、Bitwarden 等功能较为齐全的密码管理器扫描该码,你随时可以再点击「编辑 Edit 」看到原始明文密钥。
    oneisall8955
        6
    oneisall8955  
       2023-05-17 22:28:13 +08:00 via Android
    bitwarden 也有二次验证支持
    NoOneNoBody
        7
    NoOneNoBody  
       2023-05-17 23:10:43 +08:00
    这个二维码实际就是一段字符串

    弊端就是,如果一个扫码工具扫完就自动上传扫码结果到你不知道的地方……
    所以
    1. 二维码要放在非公共场合,不被随意读取,例如放在相册是不合适的
    2. 不要用不可信的扫码工具扫
    0o0O0o0O0o
        8
    0o0O0o0O0o  
       2023-05-17 23:14:38 +08:00 via iPhone   ❤️ 1
    bitwarden 用两个不同的 master password 分别存 TOTP 和账户密码,以防被一网打尽。
    boris1993Jr
        9
    boris1993Jr  
       2023-05-17 23:15:32 +08:00 via iPhone
    @sencat31 #4 不应该是直接拿现在的 OTP Code 反推出来密钥?
    7RTDKSAK
        10
    7RTDKSAK  
       2023-05-18 00:07:33 +08:00
    你可以直接截图保存这张二维码,或者使用扫码程序(有很多开源扫码器)解码为字符串也行

    其它二步认证器都可以扫描你保存地二维码,来实现备份 /迁移
    yeqizhang
        11
    yeqizhang  
       2023-05-18 00:35:52 +08:00 via Android
    为啥我在齐治这个堡垒机上的二次验证二维码不能多个设备扫描使用呢……
    lyc8503
        12
    lyc8503  
       2023-05-18 02:47:30 +08:00 via Android
    一般有 recovery code 吧,我是把 recovery code 抄下来作为备份,然后手机正常装个 Aegis 查看 2FA

    用密码管理器存就没有起到"双因素"认证的作用
    crab
        13
    crab  
       2023-05-18 04:57:01 +08:00
    保存截图或者图片识别出来保存密钥都可以.
    wdssmq
        14
    wdssmq  
       2023-05-18 11:40:42 +08:00
    保存 recovery-codes +1 ,npm github 之类的站点都会有,Google 也可以生成 10 个备用验证码保存
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2395 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:05 · PVG 10:05 · LAX 18:05 · JFK 21:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.