1
bestie 3 天前
我也想过这个问题,如果主密码被爆,那么 2FAS 形同虚设,不知道有没有更好的理解。
我暂时没把 2FAS 迁移到密码。 |
2
marvyn 3 天前
不放在一起,用两个 App 来回切吗?
既然 Apple 密码、微软 Authenticator 、1Password 、Bitwarden 等主流软件把密码和 2FA 都放在一块,应该是没有问题的 |
3
drymonfidelia 3 天前
肯定有隐患,因为密码管理器是 auto-fill 的,没有输入密码的过程,不需要防偷窥,这样 2FA 的唯一意义就只有形式主义安全,让网站以为你安全了
如果你的软件比较垃圾没办法直接 auto-fill 只能复制粘贴的话还有防读剪贴板的功能,TOTP 过期失效,不过要目标网站做了 TOTP 用一次自动失效的设计,不然 30 秒内还是能拿偷到的 TOTP 登录 |
4
drymonfidelia 3 天前
@drymonfidelia 总之放在一起还没有短信验证当 2FA 安全,对别人没有价值的账号可以这么做
|
5
drymonfidelia 3 天前
@drymonfidelia TOTP 用一次自动失效的设计 > TOTP 用一次后立即失效的设计 我测试过,80%网站都没做这个功能
|
6
hafuhafu 3 天前
我觉得不合理,我是分开的。
放一起存无非就是图省事而已,但是在一些情况下失去了 2FA 本身的意义,颇有种不得不用 2FA ,所以才启用的感觉。 |
7
loli 3 天前
本来就是一个折衷的方案
真要纠结起来没完没了 既然认为放密码管理器中的 2FA 会泄露 那么为什么会相信放密码管理器的其他密码就安全了? 2FA 对网站来说防止弱密码,防止重复密码(社工库碰撞) 对个人来说防止当前站点数据泄露或极低几率的意外碰撞 大型网站可能每天都有很多人在尝试登录你的账号 Bing 搜索 查看你的 Microsoft 帐户的最近登录活动 虽然在我这大部分登录失败的原因是 输入的密码不正确 |
8
CodeMiao OP @drymonfidelia #4 我也这么觉得。
|