整理了一下自己的账户密码管理思路,这里做个总结和分享,比较简单实用。
下面是一下基础知识,可以不看,直接跳到第 2 部分。
2FA 全称是 Two-Factor Authentication ,即双因素认证也叫两步登录。通过要求用户提供两种不同类型的验证信息来确认他们的身份。2FA 的典型工作流程如下:
常见的 2FA 方法包括:
TOTP 全称是 Time-based One-Time Password ,即基于时间的一次性密码。它是一种双因素认证( 2FA )方法,TOTP 一般通过认证应用( Authenticator )应用生成,整个流程如下。
常见的认证应用
密码管理器通过生成、存储、自动填充和管理密码,帮助用户保护在线账户的安全,并减少记忆复杂密码的负担。密码管理器通常包括以下功能:
常见的密码管理器
通行密钥使用密钥(通常是生物验证) 而非密码识别你的身份。每个通行密钥包含一对密钥,一个由你持有,另一个由 App 或网站持有。密钥对在你与 App 或网站之间建立了安全且隐私的连接。 假设用户 Alice 要在一个网站上使用通行密钥登录:
感觉所有的安全验证方式,最终还是回归到手机上的生物验证即指纹和面容识别,因为 2FA 的 TOTP ,短信验证的都是依靠解锁手机,所以最后的盾是生物验证的可靠性。
另外,各位的 2FA 的邮箱一般选择哪家的? Gmail ,outlook 还是国内的 QQ 邮箱?
TOTP 和短信验证哪个更好?感觉国内很多大厂不提供主动 2FA ,比如 QQ 邮箱,都是通过智能风控判断是否要二次验证,可能对用户反而方便了。而且现在大部分 App 都是首选短信验证码登录,说不好是不是中和体验更好。
还有重要账户开启 2FA 后,自建密码管理器服务的意义在哪?
1
wskymark 217 天前
谷歌支持云备份有好一段时间了
|
2
YGHMXFAL 217 天前
整这么复杂
①TOTP/密码管理器 APP 选择开源+离线+支持导入导出的随便一款就行,密码库文件随便上传到墙内多个网盘+syncthing 自动同步到个人其它设备 ②我不喜欢各种生物认证,包括但不限于人脸识别/指纹识别/硬件令牌等等,因为这些验证因子可能在我不知情的情况下被用于解锁,而且生物特征一次泄漏终身享福 |
5
maggch97 217 天前 via iPhone
只用 iOS 保存密码和登录,不要用 Mac ,Windows ,安卓
|
6
1KTN90lKW9gVJ9vX 217 天前 via iPhone
我自己的都不记得密码,我自己都要输入几次密码,还要找回密码找回账号,还不够安全吗!?
|
7
0o0O0o0O0o 217 天前
> 信不过自建的服务器的安全性,密码库文件也不敢放到国内网盘上
我觉得选好合格的密码管理器设置好主密码后就不用考虑这些问题了,只要注意不使用 Web 版本,就不需要也不应该依赖服务器、存储、传输过程的安全性,要需要关注的是你的主密码和设备的安全性。 > 2FA 的邮箱一般选择哪家的 > 和短信验证哪个更好 没有办法保证短信和邮箱只有你能访问 |
9
qbqbqbqb 216 天前
TOTP 用开源的 Aegis ,可以导出加密备份
|
10
qbqbqbqb 216 天前 2
@YGHMXFAL 硬件令牌和生物认证还是不一样的。
像 yubikey 这样的硬件令牌内部用的就是标准的签名/加密手段,再外加一个私钥不能导出的特性,事实上是最安全的,不仅能做 2FA 的第二因子,还可以做无密码账户的唯一因子,一步验证,照样不失安全性。 并且令牌可以设置 PIN (防止被他人捡走使用),可以要求认证时触摸实体按钮(防止被不知情使用),你说的几个问题基本都不存在。 就是丢了比较麻烦,需要提前准备备用手段,这个备用手段可能不如令牌本身安全。 生物认证恰好相反,基本没啥安全性可言(因为生物特征没法直接派生私钥,不能起到加密的功能,本质上只是一个较弱的认证手段),主要还是为了方便,只用于锁屏快速解锁(公共场合还可以防偷窥密码)/免密支付替代品(有了指纹支付日常使用就很方便了,不必开更不安全的免密支付了)。 |
11
sfdev 216 天前 via Android
其实很简单,强密码+两步验证就是唯一最优解。这肯定要借助密码管理器,商业的,开源的,自建的,都一样没什么区别,看你自己怎么选了。
|
12
frankilla 216 天前
直接 vaultwarden
|
13
totoro625 216 天前
普通人是接触不到短信验证码以外的两步验证的
|
14
dototototo 216 天前 via Android
加一个 KeePass 吧,我们也很好用的,求求你了😭
|
15
xiamy1314 216 天前
普通人都是忘记密码登录,不过现在很多都可以直接短信登录....很安全了..
|
16
uuhhme 216 天前
2FA 软件推荐 ente auth ,同时保存到 icloud 钥匙串做备用,平时 ente 够用了
|
17
yanheqi 216 天前
我平时也有用 Microsoft Authenticator 开启 2FA 。
就是担心装 Microsoft Authenticator 的手机要是丢了或者被偷,该怎么办呢? |
18
zhlssg 216 天前
买了 bitwarden 的 premium 会员,这样 TOTP 就不需要用另外的软件了,使用起来方便一些
就是不知道这样是不是降低了安全性,2fa 和 password manager 分开的话应该是更安全一些 |