V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
cielpy
V2EX  ›  问与答

大家怎么保存 2FA 的 recovery key?

  •  
  •   cielpy · 2021-06-25 22:27:31 +08:00 · 3120 次点击
    这是一个创建于 1238 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天看到这位 v 友的遭遇 https://www.v2ex.com/t/785645 ,后又想起来有次换手机恢复备份后发现 Google Authenticator 列表是空的吓了一跳,感叹一下备份 recovery key 还是很重要的,然后重新整理了一遍 recovery key,但是 recovery key 怎么存放又是个问题,随便放吧,也弱化了 recovery key 的作用,想了几个办法

    1. 都打印出来,随身带着,麻烦了点
    2. 放密码管理器里,2FA 和密码管理器放一起本身就是件很奇怪的事,放一起似乎 2FA 也相当于没有了,所以 recovery key 同理,我觉得放在密码管理器里也是不合适的
    3. zip 加密码,丢到云盘上,密码和密码管理器的密码同等对待
    4. zip 密码有被破解风险,放到另外一个密码管理器账户里
    5. 保证 2FA 信息不丢失?用有云同步的 Authenticator ?

    考虑到目前账号里都没有几百个比特币,没有那么高的安全要求,目前自己在用 3

    大家是怎么保存自己的 recovery key 的呢?
    第 1 条附言  ·  2021-06-26 19:48:58 +08:00
    云同步 2FA 的问题是还是保证云同步账户的安全,这样最好还是要开个 2FA ?这样就套娃下去了

    最后选择了用一个单独的 GPG key 来加密保存,随便放了几个地方,能取到就行,需要记两个密码,密码管理器的密码,还有这个加密 recover key 的 GPG 密码,赋时 GPG 密钥也导出并和加密的文件放一起了
    27 条回复    2021-06-26 22:37:44 +08:00
    Hardrain
        1
    Hardrain  
       2021-06-25 22:46:56 +08:00
    1. truncate 创建一个空白文件
    2. cryptsetup 在上面建立 LUKS 卷
    3. LUKS 卷中建立 ext4 文件系统(其他文件系统也行,但最好是日志式的 POSIX 文件系统)
    4. recovery code 存进去

    Windows 的上 VHD+Bitlocker 应该能作为等效的方案.
    Wolfsin
        2
    Wolfsin  
       2021-06-25 23:06:21 +08:00 via iPhone
    不记 recovery key,除了 Authenticator 外绑定其他方式备用。
    v2tudnew
        3
    v2tudnew  
       2021-06-25 23:20:39 +08:00
    为何要随身携带?这 2FA 本来就是用 APP 存放的,只是 key 你再用两个 U 盘冷备份一遍就可以了,怎么加密随你。
    如果担心一个 APP 突然失效的话,你可以两个 APP 一起用,反正只是一串字符而已。
    v2tudnew
        4
    v2tudnew  
       2021-06-25 23:23:37 +08:00
    你说的是恢复密钥,但是本身扫描的二维码也是一串字符,同样也可以保存。
    ZeroYe
        5
    ZeroYe  
       2021-06-25 23:26:47 +08:00
    不保存 recovery key,用 Authenticator 导出 2FA 数据库定期备份
    Spoience
        6
    Spoience  
       2021-06-26 00:21:39 +08:00 via Android
    打印成二维码。。妥善保存。
    lovestudykid
        7
    lovestudykid  
       2021-06-26 00:37:51 +08:00
    authy 可以同步
    pinepara
        8
    pinepara  
       2021-06-26 00:50:13 +08:00
    打印出来跟其他重要文件一起存放。
    Recovery key 主要使用场景就是在(所有)常用电子设备损坏或者丢失的时候,让你可以在新设备上登录账号用的。所有 digital 存放方式都不合适。
    mschultz
        9
    mschultz  
       2021-06-26 01:13:27 +08:00
    我也时常思考这个问题,然后 Google Advanced Protection Program 给了我一个提醒就是,也许我们觉得对 2FA 的保存方案无所适从,一定程度上是因为 TOTP 形式的 2FA 密钥和账号密码的形式太类似了——它们本质上都是一串不想被别人看到的字符串。

    以前,大家使用简单密码,密码记在脑子里,2FA 存在手机里(如 Google Authenticator ),如果简单密码通过网络远程泄露了或被猜中了,还有 2FA 保护;
    现在,大家用密码管理器了,密码也存在手机里,同时 2FA 还在手机里,密码和 2FA 在同样的地方,我们自然就觉得怪怪的了。

    现在,密码在密码管理器里(手机或电脑里),人们想,2FA 应该放在一个威胁模型、可能的泄露方式都与密码管理器 [大大不同] 的介质中,才显得 2FA 真的有用。实际上这种介质不是很好找……

    Google Advanced Protection 给出的方案是强制 2FA 只能用硬件。我想 Touch ID 、Face ID 之类的也是可能的解决方案。2 FA 硬件的备份当然很传统,要求没那么高的就买 2 个,一个放家里,一个平时带着用。要求高的自行发挥想象力,什么银行保险柜之类的都可以整。
    crab
        10
    crab  
       2021-06-26 01:46:02 +08:00
    直接把当时二维码图片保存,没了再扫一次就可以了。
    dingwen07
        11
    dingwen07  
       2021-06-26 04:55:27 +08:00 via iPhone
    用 PGP 或者 EFS 加密一遍到处放
    PGP 、EFS 证书私钥放在 YubiKey 里
    n1dragon
        12
    n1dragon  
       2021-06-26 06:23:00 +08:00 via iPhone
    Authy 自动同步,一直很稳定,而且多端使用
    cnnblike
        13
    cnnblike  
       2021-06-26 06:35:33 +08:00   ❤️ 2
    打印出来放在家中,和自己随身的电子设备形成两种不同形式的备份,除非是 EMP+导弹,不然基本上都没问题的
    Maskeney
        14
    Maskeney  
       2021-06-26 07:27:47 +08:00
    所以不要用 google 这个残废品,微软的 authenticator 已经可以充当一个完整的密码管理器了,自带同步功能永远不怕丢
    hafuhafu
        15
    hafuhafu  
       2021-06-26 08:19:52 +08:00
    我用 Microsoft Authenticator 管理二步验证,恢复码全丢放在坚果云里面的 KeePass,然后不定时再备份一次,这个 KeePass 数据库也只用来存类似这些的数据。平时用的密码管理器是别的。
    Tezos
        16
    Tezos  
       2021-06-26 09:11:44 +08:00
    Google Authenticator 好像只能转移到别的设备 不能导出 key 吧
    wdssmq
        17
    wdssmq  
       2021-06-26 09:43:57 +08:00
    @Hardrain #1 我之前使用 cryptomator 加密,然后用 Resilio Sync 在自己的设备间同步备份,然后觉得加密太麻烦就直接明文了 - -
    miaoever
        18
    miaoever  
       2021-06-26 14:22:15 +08:00
    两个物理 Yubikey, 异地备份
    Lemeng
        19
    Lemeng  
       2021-06-26 17:19:42 +08:00
    同步的 authy 就好
    charlie21
        20
    charlie21  
       2021-06-26 17:24:45 +08:00
    如果直接用你的常用手机号收短信做两步验证,那么你是不需要 recovery key 的
    zhaidoudou123
        21
    zhaidoudou123  
       2021-06-26 17:38:37 +08:00
    密码 2fa 都丢 1password 了 恢复码直接丢 OneDrive 上了(
    cielpy
        22
    cielpy  
    OP
       2021-06-26 18:43:07 +08:00
    @Hardrain 看到了一堆没见过的词 :(
    cielpy
        23
    cielpy  
    OP
       2021-06-26 18:45:51 +08:00
    @zhaidoudou123 之前我也这样搞的,但是觉得不太合理
    cielpy
        24
    cielpy  
    OP
       2021-06-26 18:51:42 +08:00
    @pinepara 目前我还没有考虑到这种极端情况,主要还是防 2FA app 失效,打印出来的重要文件,要放好像只能放保险柜了吧?
    7gugu
        25
    7gugu  
       2021-06-26 19:18:53 +08:00 via iPhone
    把 recovery key 存到私有云上🤷‍♂️
    cielpy
        26
    cielpy  
    OP
       2021-06-26 19:43:19 +08:00
    @lovestudykid
    @n1dragon
    @Lemeng

    用 Authy 同步的话,同步账户开两步验证吗
    liaixiao
        27
    liaixiao  
       2021-06-26 22:37:44 +08:00
    吓得我连夜把我的 2FA 相关信息迁移到自建的 Bitwarden 服务里了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3012 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 10:54 · PVG 18:54 · LAX 02:54 · JFK 05:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.