为什么现在的双重验证器也来搞云端保存这套
本来双重验证就是为了服务器被攻击,数据泄漏之后的救命措施,就应该保存在本地,现在都搞云端保存,以后服务器出事,帐号密码双重验证一起完蛋?因为不方便,非常简单
—— 来自 Xiaomi 23049RAD8C, Android 14上的 S1Next-鹅版 v2.5.2-play 首先,密码管理器明文保存账号密码才会因为服务器泄漏而一锅端,一般不至于
其次,想通过正常途径登录进密码管理器一锅端需要获取密码管理器的密码和二次验证码,这两个都不会存在密码管理器里
我说得很好吧,但我也不把二次验证码存在密码管理器里 本帖最后由 password 于 2024-8-24 15:04 编辑
我理解因为TOTP的主要目的不是为了防止服务器数据库泄露,而是为了是防止密码从本地泄露的情况,即使你中了木马,只要TOTP密钥不泄露那攻击者只拿到了普通密码和一次性密码那还不足以突破。
而如果你不把密钥存到云端,一旦你手机丢失或损坏这会成为一个超级麻烦,哪怕你另外保存了恢复密钥也很麻烦。 只要是端到端加密,服务器被攻破也是加密后的数据,解密难度看实现水平,所以我只用苹果的方案。 totp是解决单一信道的信任问题的,必须使用和第一道验证不同的通信系统来获得验证码,但没有规定必须本地存储,如果只能本地单点存储,那反而容易出现单点故障 来加入我们自托管vaultwarden
—— 来自 Xiaomi Redmi K20 Pro, Android 14上的 S1Next-鹅版 v2.5.2-play
页:
[1]