1
bestie 83 天前
我也想过这个问题,如果主密码被爆,那么 2FAS 形同虚设,不知道有没有更好的理解。
我暂时没把 2FAS 迁移到密码。 |
2
marvyn 83 天前
不放在一起,用两个 App 来回切吗?
既然 Apple 密码、微软 Authenticator 、1Password 、Bitwarden 等主流软件把密码和 2FA 都放在一块,应该是没有问题的 |
3
drymonfidelia 83 天前
肯定有隐患,因为密码管理器是 auto-fill 的,没有输入密码的过程,不需要防偷窥,这样 2FA 的唯一意义就只有形式主义安全,让网站以为你安全了
如果你的软件比较垃圾没办法直接 auto-fill 只能复制粘贴的话还有防读剪贴板的功能,TOTP 过期失效,不过要目标网站做了 TOTP 用一次自动失效的设计,不然 30 秒内还是能拿偷到的 TOTP 登录 |
4
drymonfidelia 83 天前
@drymonfidelia 总之放在一起还没有短信验证当 2FA 安全,对别人没有价值的账号可以这么做
|
5
drymonfidelia 83 天前
@drymonfidelia TOTP 用一次自动失效的设计 > TOTP 用一次后立即失效的设计 我测试过,80%网站都没做这个功能
|
6
hafuhafu 83 天前
我觉得不合理,我是分开的。
放一起存无非就是图省事而已,但是在一些情况下失去了 2FA 本身的意义,颇有种不得不用 2FA ,所以才启用的感觉。 |
7
loli 83 天前
本来就是一个折衷的方案
真要纠结起来没完没了 既然认为放密码管理器中的 2FA 会泄露 那么为什么会相信放密码管理器的其他密码就安全了? 2FA 对网站来说防止弱密码,防止重复密码(社工库碰撞) 对个人来说防止当前站点数据泄露或极低几率的意外碰撞 大型网站可能每天都有很多人在尝试登录你的账号 Bing 搜索 查看你的 Microsoft 帐户的最近登录活动 虽然在我这大部分登录失败的原因是 输入的密码不正确 |
8
CodeMiao OP @drymonfidelia #4 我也这么觉得。
|
9
CodeMiao OP @marvyn #2 放在一起是方便了,但是也失去了二次验证的部分特性,降低安全性。例如 macOS 上,Apple 的“密码”应用是不能设置独立密码的,通过 Mac 的密码就可以访问。好比某天请假笔记本放在了公司,有一份文件在电脑中需要用到,把开机密码给同事协助操作,这个场景下,同事就可以导出你所有密码和 2FA 验证码。如果 2FA 独立存在手机上,即使同事拿到你的密码也登录不了账户。(只是举例,大多数同事还是讲道德的)
|
10
CodeMiao OP @loli #7 二次验证的场景是密码泄漏用来兜底的。密码和 2FA 是否放在一起对于撞库、脱库这种事件确实没什么影响。但是如果密码管理软件泄漏了,密码和 2FA 放在一起,那就没个兜底的了。一个锁需要 2 把钥匙才能打开,我们却把 2 把钥匙放在了一起
|
11
dilidilid 65 天前
不安全,理想的做法是 TOTP 只保存在相对隔离的设备比如未越狱的 iPhone 上并关闭所有云同步
|