看了那个丢了 2FA 的帖子,貌似用了常用的手机,一些回帖好像也用的常用手机! 甚至有些直接用网页工具的。这样完全失去了使用 2FA 的意义了。 理论上这个东西应该放在物理隔离的设备上。 替换下来的手机就是很好的选择,不插卡不连 wifi 。偶尔手动给它校准下时间就行。 常用, 回帖, 手机, 校准
OP 这也是一种思路,但是感觉每个人需求不太一样,方便和安全就像天平的两端 * 比如用常用的手机,平时在外面要登录就很方便,只要加密存储了,其实也还行啊,而且用厂商的 app 还可以方便的同步 * 再比如我自己,使用 2FA 的账号就只有 google, github 和微软等,登录这些账号时我通常是开着电脑的状态,所以我就只用自己写的 2FA 的命令行工具,本地加密存储,备份也是手动备份在自己的几个服务器上 * 用网页的嘛... emm... 这个好像确实没太必要 😂
我的观点是不要用同一个软件保存密码和 2FA 就行,比如 bitwarden 等密码管理工具只保存密码,2FA 用其他软件保存。 我认为 2FA 的意义就是这个,两步认证。 如果使用同一个工具做两次认证,那就毫无意义,是为了两步认证而认证。 当然在有条件的情况下,分得越开越好,用硬件 2FA 设备比软件好,离线比在线好,不同设备比同一个设备好。 安全毕竟和便利是相对的,永远不可能只考虑一个。 我认为做到分不同的软件做 2FA 就已经满足基本定义和它设计的出发点了。