V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
CodeMiao
V2EX  ›  问与答

将密码和 2FAS 的验证码放到一起合理吗?有没有安全隐患

  •  
  •   CodeMiao · 83 天前 · 1174 次点击
    这是一个创建于 83 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一直用 GA 管理二次验证的验证码,最近感觉 GA 不是很好用:数据重复、国区 App Store 不支持下载、更新。发现苹果的“密码”也可以管理二次验证码,使用起来也比较方便,不过有点担心密码和 2FAS 的验证码放到一起会不会有安全隐患
    11 条回复    2024-10-14 02:06:24 +08:00
    bestie
        1
    bestie  
       83 天前
    我也想过这个问题,如果主密码被爆,那么 2FAS 形同虚设,不知道有没有更好的理解。
    我暂时没把 2FAS 迁移到密码。
    marvyn
        2
    marvyn  
       83 天前
    不放在一起,用两个 App 来回切吗?
    既然 Apple 密码、微软 Authenticator 、1Password 、Bitwarden 等主流软件把密码和 2FA 都放在一块,应该是没有问题的
    drymonfidelia
        3
    drymonfidelia  
       83 天前
    肯定有隐患,因为密码管理器是 auto-fill 的,没有输入密码的过程,不需要防偷窥,这样 2FA 的唯一意义就只有形式主义安全,让网站以为你安全了
    如果你的软件比较垃圾没办法直接 auto-fill 只能复制粘贴的话还有防读剪贴板的功能,TOTP 过期失效,不过要目标网站做了 TOTP 用一次自动失效的设计,不然 30 秒内还是能拿偷到的 TOTP 登录
    drymonfidelia
        4
    drymonfidelia  
       83 天前
    @drymonfidelia 总之放在一起还没有短信验证当 2FA 安全,对别人没有价值的账号可以这么做
    drymonfidelia
        5
    drymonfidelia  
       83 天前
    @drymonfidelia TOTP 用一次自动失效的设计 > TOTP 用一次后立即失效的设计 我测试过,80%网站都没做这个功能
    hafuhafu
        6
    hafuhafu  
       83 天前
    我觉得不合理,我是分开的。
    放一起存无非就是图省事而已,但是在一些情况下失去了 2FA 本身的意义,颇有种不得不用 2FA ,所以才启用的感觉。
    loli
        7
    loli  
       83 天前
    本来就是一个折衷的方案
    真要纠结起来没完没了
    既然认为放密码管理器中的 2FA 会泄露
    那么为什么会相信放密码管理器的其他密码就安全了?

    2FA 对网站来说防止弱密码,防止重复密码(社工库碰撞)
    对个人来说防止当前站点数据泄露或极低几率的意外碰撞

    大型网站可能每天都有很多人在尝试登录你的账号
    Bing 搜索 查看你的 Microsoft 帐户的最近登录活动
    虽然在我这大部分登录失败的原因是 输入的密码不正确
    CodeMiao
        8
    CodeMiao  
    OP
       82 天前
    @drymonfidelia #4 我也这么觉得。
    CodeMiao
        9
    CodeMiao  
    OP
       82 天前
    @marvyn #2 放在一起是方便了,但是也失去了二次验证的部分特性,降低安全性。例如 macOS 上,Apple 的“密码”应用是不能设置独立密码的,通过 Mac 的密码就可以访问。好比某天请假笔记本放在了公司,有一份文件在电脑中需要用到,把开机密码给同事协助操作,这个场景下,同事就可以导出你所有密码和 2FA 验证码。如果 2FA 独立存在手机上,即使同事拿到你的密码也登录不了账户。(只是举例,大多数同事还是讲道德的)
    CodeMiao
        10
    CodeMiao  
    OP
       82 天前
    @loli #7 二次验证的场景是密码泄漏用来兜底的。密码和 2FA 是否放在一起对于撞库、脱库这种事件确实没什么影响。但是如果密码管理软件泄漏了,密码和 2FA 放在一起,那就没个兜底的了。一个锁需要 2 把钥匙才能打开,我们却把 2 把钥匙放在了一起
    dilidilid
        11
    dilidilid  
       65 天前
    不安全,理想的做法是 TOTP 只保存在相对隔离的设备比如未越狱的 iPhone 上并关闭所有云同步
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5421 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 08:11 · PVG 16:11 · LAX 00:11 · JFK 03:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.