V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Cloud200
V2EX  ›  信息安全

被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了

  •  4
     
  •   Cloud200 · 364 天前 · 26085 次点击
    这是一个创建于 364 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨晚本人的手机进水突然变砖头,首先想到的就是在备用机恢复微软验证器的二步验证云备份。

    但是!因为当时已经有了一些 2FA,想要启用备份。

    官网文档讲的的账户页面我根本找不到,无可奈何就想着登录一下,点击启用备份按钮后它居然把我旧手机的两个 2FA 覆盖 上去了!(居然不是合并吗?)

    我又点了一下停止备份,结果它又直接把云备份删除了???破大防了一个晚上。

    后面才发现,要新设备(新安装的状态)屏幕下的 “恢复” 按钮才能恢复。不知道的人就容易被坑惨,如果应用已经有使用痕迹,就根本找不到一个 恢复按钮

    幸好 Bitwarden 有恢复码才幸免于难。差点丢掉仓库访问权限。

    来 V 站搜了搜 t/805856 t/882833 t/800538 原来我不是一个人

    关闭云备份自动删除,其他设备开启云备份自动全部覆盖,云备份机制太迷了。

    第 1 条附言  ·  364 天前
    据小伙伴 @0DBBFF 说,谷歌商店下载的 Authy 收不到 +86 手机号的验证码,想换 Authy 的朋友注意欧
    第 2 条附言  ·  363 天前
    感谢 @D33109 的建议,已换开源的 github.com/jamie-mh/AuthenticatorPro
    228 条回复    2023-11-09 23:30:03 +08:00
    1  2  3  
    enchilada2020
        1
    enchilada2020  
       364 天前 via Android
    卧槽 吓得我赶紧备份恢复码(
    ladypxy
        2
    ladypxy  
       364 天前 via iPhone
    说过无数遍,建议老老实实用 Authy
    微软和 google 的都是坑
    Cloud200
        3
    Cloud200  
    OP
       364 天前   ❤️ 1
    @ladypxy 完蛋我刚换谷歌的
    icaolei
        4
    icaolei  
       364 天前
    谷歌的可以上传云端,跟着账号走,便捷性稍微好点,安全性就仁者见仁了。
    Yien
        5
    Yien  
       364 天前 via Android   ❤️ 3
    2FA 可以多个 App 一起用的,我是 MA 和 GA 一起用
    nullyouraise
        6
    nullyouraise  
       364 天前   ❤️ 2
    自从 8 9 年前用 Google 验证器丢失了数据后,就换成 1Password 了,并且每一个两步验证添加时的二维码都截图另存一份
    hefish
        7
    hefish  
       364 天前   ❤️ 6
    老老实实自建 vaultwarden ,咳咳。。
    nsf
        8
    nsf  
       364 天前
    @Cloud200 google 貌似也是这个机制,之前我就被坑过。不知道现在是不是了。
    cdswyda
        9
    cdswyda  
       364 天前
    正好蹲个答案,有管理密码的好方案吗?
    mohumohu
        10
    mohumohu  
       364 天前
    安卓是吧,ios 就不用担心,走的 iCloud
    zeroDev
        11
    zeroDev  
       364 天前 via Android   ❤️ 3
    这时候就体现了开源软件可以本地备份的重要性,Aegis
    Track13
        12
    Track13  
       364 天前 via Android   ❤️ 2
    还是用 aegis 吧,导出加密备份后随便备份。(反正这东西又不会经常变更)
    v321ex
        13
    v321ex  
       364 天前 via Android
    @ladypxy 那我不换 Google 的了
    Cloud200
        14
    Cloud200  
    OP
       364 天前
    @nsf 啊?
    ViriF
        15
    ViriF  
       364 天前
    今年好像见到好几次关于 MS Authenticator 记录不见的了,Yubikey 和 Yubikey Authenticator 可以满足需求吗?
    testonly
        16
    testonly  
       364 天前   ❤️ 1
    那些网络安全专家搞得越来越复杂,这些鬼东西连这里一堆专门搞计算机的都有没看明白的,更勿论普通人甚至老人。
    以前没搞那么多东西出来时我万年没丢过一次密码,应该说到现在还没因为我自己账号被 HACK 情况下丢过账号,但搞一大堆安全验证后,你自己记得密码恢复问题邮箱都不给你登录,我的账号被那些狗平台一个一个的拿走。
    lucifer518
        17
    lucifer518  
       364 天前   ❤️ 2
    MA 有个蛋疼的问题,iOS 换了 Android 之后,无法同步过来
    B3UzMhCd3dDvVVLa
        18
    B3UzMhCd3dDvVVLa  
       364 天前
    前些年好不容易注册的海外 paypal ,两步验证被微软的验证器搞没了,想想就气
    Bingchunmoli
        19
    Bingchunmoli  
       364 天前 via Android
    google 微软。keepass 三份存储。。
    winterbells
        20
    winterbells  
       364 天前 via Android   ❤️ 1
    我是尽量不用这玩意儿…
    谷歌之前莫名其妙全丢了,害我废了好大劲才把账号都找回
    Helsing
        21
    Helsing  
       364 天前 via iPhone
    我都是 iOS 钥匙串和 Bitwarden 各放一份,避免一窝端
    yumusb
        22
    yumusb  
       364 天前
    https://v2ex.com/t/983621 趁机打个广告
    wongtk
        23
    wongtk  
       364 天前 via iPhone
    Google 今年更新已经跟着账户备份
    Cloud200
        24
    Cloud200  
    OP
       364 天前
    @wongtk ~~只有真丢的时候,才能检验可靠性~~ (致命玩笑
    PerFectTime
        25
    PerFectTime  
       364 天前
    我之前也是,云备份的恢复直接被覆盖掉了。还好那时候的 2FA 只是加的测试,没有出现什么严重后果
    shijingshijing
        26
    shijingshijing  
       364 天前
    开源+本地备份 才是王道,所有依赖云服务的都不可靠。
    zed1018
        27
    zed1018  
       364 天前
    没遇到过,年年换新都是直接平滑迁移过来的
    ncepuzs
        28
    ncepuzs  
       364 天前
    印象中 Microsoft Authenticator 已经在本站造成多起“惨案”了
    Fish12138
        29
    Fish12138  
       364 天前
    确实 我前两天换手机就被坑了 用的爱思全备份 然后打开啥也没 然后就和你一样
    现在是 截图+GOOGLE+微软+apple (四舍五入感觉更不安全了)
    bobryjosin
        30
    bobryjosin  
       364 天前
    我是整两个 yubikey ,两个 yubikey 都存一份,2FA APP 再存一份,在外面带 yubikey 就用 yubikey 没有就用 APP ,另一把作备份固定地方放好,APP 和其中一把 yubikey 丢了也不会失去控制权,如果恰好全丢了那估计是不可抗力,账号也不么重要了/doge
    zhusimaji
        31
    zhusimaji  
       364 天前
    啊这,最近 github 要求 2fa ,刚使用上 ma
    jecvay
        32
    jecvay  
       364 天前 via iPhone
    卧槽 吓得我赶紧起床整备份
    SnowMountain
        33
    SnowMountain  
       364 天前 via iPad
    iOS 的也不省心,扫完码生成验证码后,弹了一下低电量,再去看被取消了,没保存上,r 星那边已经启用两步验证,怀疑人生
    iamjerry
        34
    iamjerry  
       364 天前
    我就是这样中过一次招
    被删了

    现在改成 1p
    weidaizi
        35
    weidaizi  
       364 天前   ❤️ 1
    看的我顺手扔出之前写的命令行 2fa 工具: https://github.com/MuggleWei/yoauth
    本地加密存储,备份只需要复制一份 data 文件到其他地方即可
    cnbatch
        36
    cnbatch  
       364 天前
    这就是为什么我坚持在电脑保存一份原始认证码,以及更倾向于搞一套硬件密码器(我还发过提问贴),就算做云端备份也要保留一份手动备份。毕竟完全依赖手机的话,不但一点都不可靠,而且一个意外就能搞得自己手足无措。我就经历过。

    只不过有一大堆人迷之自信,觉得“意想不到的状况”一定轮不到自己,认为我的提问不合理,把我狂喷一顿。Naïve!
    hazy
        37
    hazy  
       364 天前
    以前也一直用的 Microsoft Authenticator ,出于对微软靠谱性的怀疑,上次花了一下午把所有账号的 2FA 重新设置了一遍,全部用 Bitwarden 管理,同时保留一份本地截图和验证器密钥并加密存到云端; Bitwarden 的 TOTP 单独用 Google Authenticator 管理,并打印一份纸质备份,GA 不登录,不给联网权限。
    hululu
        38
    hululu  
       364 天前 via iPhone
    我今天设置新手机,也遇到问题了,新手机的 app 无论如何都不能恢复回来,一点备份就覆盖云端,幸好就手机 app 有提示可以反覆盖云端,反复试才发现有恢复登陆模式,吓死个人
    ovulatingwife
        39
    ovulatingwife  
       364 天前
    @ladypxy #2 authy 我怎么接收不到 sms
    NoOneNoBody
        40
    NoOneNoBody  
       364 天前
    我有时真的很疑惑这个究竟是不是[高]技术人员聚集的地方
    分析新闻个个都头头是道,什么都能质疑,但盲信品牌的大有人在

    TOTP 是个极容易备份的东西,就是字符串而已,却很多人在这上面栽跟头,全盘备份都能搞定,几个字符串就……
    这些帖子看得我一头雾水
    03
        41
    03  
       364 天前
    @NoOneNoBody 没踩过坑很多人自然就觉得软件里存了能导出/备份,为什么要自己存一份

    之前见过的 duo 也很脑残,有个 google drive 备份,让人以为设备坏了之类的情况也没事,但没有老设备不能访问备份
    NoOneNoBody
        42
    NoOneNoBody  
       364 天前
    @03 #41
    人无远虑,必有近忧
    都是做过项目的人,应该分得清轻重缓急,做事多向前想两步就已经是巨大的差别

    人的视野不足 180 度,需要靠转身补足,腾出回旋空间,可以转身、后退,路才好走
    向前一步可以看到更远,但向后一步则是拓宽视野
    IvanLi127
        43
    IvanLi127  
       364 天前 via Android
    微软那个真不正常,我不敢用了已经,感觉他的备份和恢复逻辑很迷惑,以前多个手机的数据想合并,没搞懂咋弄
    BeautifulSoap
        44
    BeautifulSoap  
       364 天前 via Android   ❤️ 5
    如果 lz 用的是安卓的话,你看,root 的好处之一就体现出来了

    root 后用 SwiftBackup 直接连带着 app 的用户数据、Android ID 都给备份了,无论换的是什么牌子的手机只要新手机能 root 都能完美还原 app 和数据

    ps:我的 F2A 最终还是存在了 bitwarden 里
    jimmy3780
        45
    jimmy3780  
       364 天前
    @SnowMountain 好奇,一般不是还要求输入 TOTP 的验证码来确保双方可以正确获得结果才能启用 2FA 么
    hhacker
        46
    hhacker  
       364 天前
    救援码本地备份
    dingwen07
        47
    dingwen07  
       364 天前
    老老实实把二维码截图保存并打印下来,我看你怎么丢
    qweruiop
        48
    qweruiop  
       364 天前   ❤️ 1
    https://2fas.com/
    用这个吧。。。
    bluetree2039
        49
    bluetree2039  
       364 天前 via iPhone
    @Bingchunmoli 请问几十个,怎么备份到谷歌?
    zenghx
        50
    zenghx  
       364 天前 via iPhone
    我也这样被坑过,真不知道产品经理是怎么设计出来这么奇怪的逻辑的
    zmh69695328
        51
    zmh69695328  
       364 天前 via Android
    我也中过招,也是换了 google
    cat9life
        52
    cat9life  
       364 天前
    我也再用微软 谢谢提醒
    pnglog
        53
    pnglog  
       364 天前
    微软我也中招过,这么大的公司同步的这么垃圾。现在改用 Google 的了,Google 现在可以跟随账号到也不怕。
    shuang930225
        54
    shuang930225  
       364 天前
    @ladypxy Authy 是哪个?我现在用的 Authenticator
    Overbye
        55
    Overbye  
       364 天前
    你不是一个人,我也被坑后转用 authy 了。好奇 Bitwarden 怎么备份恢复码的?
    liuidetmks
        56
    liuidetmks  
       364 天前
    我也被微软坑过一次,他的 “同步” 总感觉有问题,不是普通人理解的同步 备份
    chenzw2
        57
    chenzw2  
       364 天前
    恢复码收藏好就行,其它都可以随便丢
    knightgao2
        58
    knightgao2  
       364 天前
    @bobryjosin yubikey 怎么存 2FA 的东西呀,我也准备了 2 个,但是不知道怎么弄
    lchkid
        59
    lchkid  
       364 天前
    同时用过微软和谷歌的,还是用 google 的靠谱点
    usbaby
        60
    usbaby  
       364 天前
    Authy 才是真的坑
    88268459
        61
    88268459  
       364 天前
    你真的不是一个人,我已经不用它了。。
    luzemin
        62
    luzemin  
       364 天前
    最近正好在开发 MFA 相关的东西,参考了一些网站,比如 atlassian ,你的手机不可用,还会有 emergency recovery code (当然这个要存好),用于登录,登录后可以重新使用新手机配置 MFA
    petercui
        63
    petercui  
       364 天前
    1Password 辣么便宜你们也不愿意用么?
    a33291
        64
    a33291  
       364 天前
    @Bingchunmoli 才发现 kesspass 也有 totp
    但是他这个 secret 密钥要手动输入,好像现在主流方式都是给一个二维码,请问是否二维码的内容就是这个 secret?
    dode
        65
    dode  
       364 天前
    两个手机都存一份了
    ohmyzsh
        66
    ohmyzsh  
       364 天前
    所以我从不用这种备份
    Seanfuck
        67
    Seanfuck  
       364 天前
    @usbaby Authy 要翻墙,不然提示密码错误。
    zjuster
        68
    zjuster  
       364 天前
    微软验证器在 iOS 存在 iCloud 里面的,但是恢复确实很麻烦,很有误导。

    我这次换手机最后是验证了一堆莫名奇妙的东西才恢复。

    @icaolei @Cloud200 我是因为谷歌丢了我所有的 2FA 才换的微软。谷歌是最近更新了云备份? 之前必须手动卸载设备再更新到新设备。
    lisxour
        69
    lisxour  
       364 天前
    @a33291 是的,二维码的内容就是一串东西
    monkeyWie
        70
    monkeyWie  
       364 天前
    用身份验证器扩展,然后备份到 google driver 还有 one drive
    freewarcraft
        71
    freewarcraft  
       364 天前
    1password 敢一年收你几百块是有原因的🐶
    helloet
        72
    helloet  
       364 天前
    自建 bitwarden + 定时备份到 cloudflare r2
    leedarmau
        73
    leedarmau  
       364 天前
    1password 收费是有道理的。

    别的都可以折腾,这个没必要折腾。
    CodeCodeStudy
        74
    CodeCodeStudy  
       364 天前
    2FA 本质上就是一个字符串,也就是厂商生成的密码,可以记录到 word 里,加密保存
    cheng6563
        75
    cheng6563  
       364 天前
    Authy 登录需要手机号验证,小心以后收不到短信
    Stoney
        76
    Stoney  
       364 天前 via iPhone
    这设计台脑残了吧
    LoneFireBlossom
        77
    LoneFireBlossom  
       364 天前 via iPhone
    我觉得这种身份验证器好难用啊,平时二次验证还得专门打开一个 app 去看…有什么理由是不用 bit warden 这种软件放 2fa 的吗,安全问题?
    dya
        78
    dya  
       364 天前
    我想问问新手机登陆 microsoft authenicator ,是不是也要输入 2FA 验证码才能登陆的(因为我的微软账户,也就是 outlook 邮箱是开启了两步验证的,而且我的 outlook 邮箱的两步验证密匙也是保存在 microsoft authenicator 上面的)?会不会陷入一个死循环?
    DIO
        79
    DIO  
       364 天前
    我的 2FA 二维码从来都是截图保存的,纯纯为了应付某些网站的 2FA 要求
    DIO
        80
    DIO  
       364 天前
    microsoft authenicator 之前也用过,感觉备份很奇怪就赶进转移了。现在只为微软授权使用,而且二维码也有保存。
    ichanne
        81
    ichanne  
       364 天前
    之前是看别人 Google 丢才换的 Microsoft ,现在告诉我 Microsoft 也丢,我丢!
    Xbluer
        82
    Xbluer  
       364 天前
    @LoneFireBlossom 密码已经放在 BitWarden 了,如果 2FA 也放里面,那么二次验证的意义就没了。
    ding2dong
        83
    ding2dong  
       364 天前
    赶紧把我的恢复码备份到 bitwarden
    Lexgni
        84
    Lexgni  
       364 天前
    我在微软丢了两次,第一次以为是没开备份,现在转谷歌了
    hafuhafu
        85
    hafuhafu  
       364 天前
    我也丢过一次数据,全没了。还好有在其他软件上的备份。现在老老实实 Aegis 加云备份。
    yunyuyuan
        86
    yunyuyuan  
       364 天前
    截图,加密上传到云盘(我用 rclone 的 encrypt 定时同步)
    clementewy
        87
    clementewy  
       364 天前
    微软换了手机,死活恢复不了,不知到哪里出了问题
    Gzxhwq
        88
    Gzxhwq  
       364 天前
    BitWarden 自建
    Aegis+Nextcloud 备份
    diagnostics
        89
    diagnostics  
       364 天前
    @NoOneNoBody #40 工作忙没时间捣鼓这些,就这样,你现在还有心思每个星期手机刷个包,然后天天晚上各种体验优化?
    wyxls
        90
    wyxls  
       364 天前
    很久以前用谷歌的 2FA APP ,后来换手机发现没法一键迁移,就转用微软的验证器了。现在所有网站账号的 2FA 的二维码图片以及识别出来的因子序列都用富文本保存在 NAS 里,然后定期加密备份到坚果云上

    哪怕被微软账号云同步覆盖掉或者本地 NAS 挂了,也还有一份在坚果云那,不过这时候只能一个一个扫码添加回去了
    yanhuamiluan
        91
    yanhuamiluan  
       364 天前
    2FA 不就是一个 secret, 保存到文本上不就行了
    weilongs
        92
    weilongs  
       364 天前
    今年开始用微软的,看来我也得赶紧备份一下。
    ladypxy
        93
    ladypxy  
       364 天前
    @shuang930225 名字就叫做 Authy
    Helsing
        94
    Helsing  
       364 天前 via iPhone
    @Xbluer #81 Bitwarden 不泄漏没什么问题
    PaulSamuelson
        95
    PaulSamuelson  
       364 天前
    你是不是没做过,灾备、以及恢复演练。
    yiranshaxiao
        96
    yiranshaxiao  
       364 天前
    怎么快速把微软的迁移到谷歌去?
    nzbstn
        97
    nzbstn  
       364 天前
    所有云都不可靠, 只有自己的设备才是最放心的
    可以试试 keepass 系列, 内置 2FA 功能, 本地文件保存. 可以搭配各种云盘/webdav/同步工具组合使用
    我个人现在就是这么玩, 大部分密码都保存在 keepass + syncthing 实现实时多端同步, 反正有本地文件在手, 不怕丢
    nicaiwss
        98
    nicaiwss  
       364 天前
    @zjuster 微软和苹果对同步备份的理解和普通人不一样,你理解的是同步,他做的其实是覆盖,而且你还不知道谁会覆盖谁,永远不要相信这两个公司的同步。google 今年更新了云备份,现在跟着账号走。
    Cloud200
        99
    Cloud200  
    OP
       364 天前
    @yiranshaxiao 如果你截图了所有二维码,会比手动快一些!
    Xbluer
        100
    Xbluer  
       364 天前   ❤️ 2
    @Helsing #94 2FA 可不就是为了防止密码泄漏之后账户被窃取么。为了安全门上装了两把锁,这倒好,直接两把钥匙焊在一块了。
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3133 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:47 · PVG 20:47 · LAX 04:47 · JFK 07:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.