V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Cloud200
V2EX  ›  信息安全

被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了

  •  4
     
  •   Cloud200 · 2023-11-06 22:26:26 +08:00 · 27022 次点击
    这是一个创建于 411 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨晚本人的手机进水突然变砖头,首先想到的就是在备用机恢复微软验证器的二步验证云备份。

    但是!因为当时已经有了一些 2FA,想要启用备份。

    官网文档讲的的账户页面我根本找不到,无可奈何就想着登录一下,点击启用备份按钮后它居然把我旧手机的两个 2FA 覆盖 上去了!(居然不是合并吗?)

    我又点了一下停止备份,结果它又直接把云备份删除了???破大防了一个晚上。

    后面才发现,要新设备(新安装的状态)屏幕下的 “恢复” 按钮才能恢复。不知道的人就容易被坑惨,如果应用已经有使用痕迹,就根本找不到一个 恢复按钮

    幸好 Bitwarden 有恢复码才幸免于难。差点丢掉仓库访问权限。

    来 V 站搜了搜 t/805856 t/882833 t/800538 原来我不是一个人

    关闭云备份自动删除,其他设备开启云备份自动全部覆盖,云备份机制太迷了。

    第 1 条附言  ·  2023-11-07 15:01:58 +08:00
    据小伙伴 @0DBBFF 说,谷歌商店下载的 Authy 收不到 +86 手机号的验证码,想换 Authy 的朋友注意欧
    第 2 条附言  ·  2023-11-07 22:19:27 +08:00
    感谢 @D33109 的建议,已换开源的 github.com/jamie-mh/AuthenticatorPro
    229 条回复    2024-11-13 14:27:19 +08:00
    1  2  3  
    KKFantasy
        201
    KKFantasy  
       2023-11-08 09:28:59 +08:00
    我用的 authy ,然后再把同样的 key 备份一遍到 bitwarden
    proxytoworld
        202
    proxytoworld  
       2023-11-08 10:08:51 +08:00
    本来 2fa 就是为了加强安全性设计的,使得每次始终都有两次验证

    你这把 2fa 同步到云上,那人家拿到你云上的信息不就全拿到了,相当于又回到了一次验证
    beyondex
        203
    beyondex  
       2023-11-08 10:37:13 +08:00
    重要数据,自己本地备份+多副本+多重备份
    重要数据,自己本地备份+多副本+多重备份
    重要数据,自己本地备份+多副本+多重备份
    hanxiansheng
        204
    hanxiansheng  
       2023-11-08 10:41:33 +08:00 via Android
    我一直认为,两步验证是人类历史上最反人类的发明,密码被盗都比两步验证安全,被盗还可以找回
    heyufei1996
        205
    heyufei1996  
       2023-11-08 10:47:39 +08:00
    最初版的时候用过, 我以为添加过的账户, 会被同步或者备份的, 最后我的 Github 账户丢了, 后续出了备份的功能, 用起来也很迷.
    zeromake
        206
    zeromake  
       2023-11-08 11:29:28 +08:00
    Authy 和 Microsoft Authenticator 都是没法备份的,已换 AuthenticatorPro (就是比较奇怪支持导出 html 的版本,却没法导入 html )
    SuzutsukiKaede
        207
    SuzutsukiKaede  
       2023-11-08 13:22:41 +08:00
    做过一模一样的事情。现在一直在用 Authy
    lee015
        208
    lee015  
       2023-11-08 13:25:43 +08:00 via Android
    用的 authy ,加保存二维码和恢复密钥到 keepass
    godwinma
        209
    godwinma  
       2023-11-08 14:04:59 +08:00   ❤️ 1
    uuhhme
        210
    uuhhme  
       2023-11-08 15:03:35 +08:00 via Android
    还是保存到苹果 iCloud 一份靠谱,用自带的相机扫一扫就可以
    Cloud200
        211
    Cloud200  
    OP
       2023-11-08 15:40:46 +08:00 via Android
    @Citrus 其实是双持吧,也没有新旧一说,只是旧的那个停用了
    Twnysta
        212
    Twnysta  
       2023-11-08 16:35:13 +08:00
    2FAS Auth 可以 iCloud 同步好像
    maemolee
        213
    maemolee  
       2023-11-08 16:59:18 +08:00
    一直用的 iPhone 上的 2STP ,自动 iCloud 备份
    GotKiCry
        214
    GotKiCry  
       2023-11-08 17:05:55 +08:00
    建议用谷歌的,微软的使用逻辑一坨狗屎
    kuls
        215
    kuls  
       2023-11-08 17:41:11 +08:00
    怎么关掉 2FA ,好傻逼的东西。。。
    Winrey
        216
    Winrey  
       2023-11-08 18:06:44 +08:00   ❤️ 1
    @nzbstn 自己的设备不常更新 CVE 就会被渗透,遇到服务器忘续费释放了,坏盘,甚至地震、火水灾等极端情况也会有问题……

    吃过这个亏😭
    Achophiark
        217
    Achophiark  
       2023-11-08 18:17:53 +08:00
    authy 是不错的,但本着数据在自己手里的原则,还是推荐 keepass 和 bitwarden
    Achophiark
        218
    Achophiark  
       2023-11-08 18:19:51 +08:00
    AuthenticatorPro 虽然看起来不错,有加密备份等功能,但这个加密备份文件,你还是得放到安全的地方。还有就是 keepass 和 bw 用过你就知道,向罗永浩说洁身器一样,用过就会不去了。
    jackmod
        219
    jackmod  
       2023-11-08 18:52:22 +08:00
    吓得我连夜转移并打印纸质备份留底
    soulans
        220
    soulans  
       2023-11-08 20:08:43 +08:00
    看完帖子,立马就把 2FA 牵出去了。很早之前 OneDrive 把我很多年的照片弄丢过,现在听到这个就比较害怕了。
    MemoAI
        221
    MemoAI  
       2023-11-09 00:14:01 +08:00
    哎,我现在都切到 iCloud 统一管理了
    JIUBASHI
        222
    JIUBASHI  
       2023-11-09 08:53:11 +08:00 via iPhone
    多设备,多应用,多端。遵循这三个原则,就不会团灭。
    flexbug
        223
    flexbug  
       2023-11-09 08:57:21 +08:00
    为何不试试 vaultwarden ,开源的 bitwarden ,直接 docker 部署,套个 CF ,做个每日自动备份
    mscsky
        224
    mscsky  
       2023-11-09 09:36:19 +08:00
    @EricShell 一年好几次了,最近一次是几天前
    SHF
        225
    SHF  
       2023-11-09 10:51:04 +08:00
    /** 获取 github totp (time based one time password) */
    async get_totp () {
    const { TOTP } = await import('otpauth')

    let totp = new TOTP({ secret: '...' })

    return totp.generate()
    }

    我直接写在代码里,要用的时候直接调这个函数 😀,但是总体来说比单密码要麻烦
    DreamyTZK
        226
    DreamyTZK  
       2023-11-09 15:36:07 +08:00
    1password 一把梭
    kingltigerlcharg
        227
    kingltigerlcharg  
       2023-11-09 20:27:41 +08:00
    我也丢过,那时候甚至登陆不上 V2 (因为习惯性浏览器自动填充帮你弄新密码自己记不清太多就忘了)。。。
    申请的理由就是微软密码工具那个炸了。。备份是新账号那个
    jaleo
        228
    jaleo  
       2023-11-09 23:30:03 +08:00
    自建 Bitwarden 用哪个好?官方的还是第三方 vaultwarden ?
    f1ynnv2
        229
    f1ynnv2  
       38 天前
    问一个事情,微软的账号(包括 Office365 )能绑谷歌或者其它第三方的 TOTP 吗?
    之前就是因为经常登录微软的账号才用了 Microsoft Authenticator
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1660 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:36 · PVG 00:36 · LAX 08:36 · JFK 11:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.