如果你们还不知道的话,Authy寄了,建议更换其他2FA服务
中国大陆手机号已经无法接收短信了,Google Play上骂声一片,iOS用户可能因为iCloud备份恢复的原因还没怎么发现几个备选方案如2FAS、Aegis(只有Android版)、微软authenticator等等都没有跨iOS和Android设备之间的同步,不过Authy的同步现在也无了,没差
本帖最后由 password 于 2025-3-9 09:39 编辑
bitwarden可以全平台同步 就是要钱或自建服务
另外可能不适合想把验证器和密码管理器分开的人群 微信上有个腾讯令牌的小程序,在pc端微信上也能打开,我最近试了一下还挺方便,不用掏手机了,但是看评论好像有丢令牌的情况 一直用的safeincloud,为啥没什么人提这个,好歹能直接买断,不用一直按月订阅 Google authenticator 能跨 Android 和 iOS 同步。authy 早就不能收手机号了,我差点被这事搞出事。 password 发表于 2025-3-9 09:38
bitwarden可以全平台同步 就是要钱或自建服务
另外可能不适合想把验证器和密码管理器分开的人群 ...
我这免费 bitwarden 正在用,支持全平台同步的。只用来存密码,没用到收费功能
验证器和密码储存必然是应该分开的吧。不然就把 something you own 和 something you know 给合二为一了,违背了 MFA 的设计初衷
—— 来自 S1Fun 5long 发表于 2025-3-9 13:03
我这免费 bitwarden 正在用,支持全平台同步的。只用来存密码,没用到收费功能
验证器和密码储存必然是 ...
bitwarden 本身可以开 2FA。
虽然验证器的验证器,这种做法有点套娃…… 本帖最后由 password 于 2025-3-9 13:33 编辑
5long 发表于 2025-3-9 13:03
我这免费 bitwarden 正在用,支持全平台同步的。只用来存密码,没用到收费功能
验证器和密码储存必然是 ...
我这个说的就是bitwarden同步TOTP的功能,这个是要收费的,每年10刀。
这个问题你觉得违背两步验证设计我觉得未必,关键是你怎么看两步验证的用途。
我觉得两步验证的主要作用是防止平时你的网站密码泄漏,两步对我来说就是多了个不怕泄漏的一次性密码,从这个角度来说,一个管理器管理密码和2FA并没什么问题,我并不想每次两步验证都打开手机。
你觉得要从两种因素MFA去验证这没错,但是这是因为你把两步防护定位想的比我高,而我不需要。 是在说2fa认证app吗
有个开源的,用着还行
https://github.com/stratumauth/app 用小程序也很勇啊,一不怕私钥泄露,二不怕小程序跑路
—— 来自 鹅球 v3.3.96 生存戰略 发表于 2025-3-9 13:07
bitwarden 本身可以开 2FA。
虽然验证器的验证器,这种做法有点套娃……
套娃还好,但我担心的是 bitwarden 的服务器端出了问题,比如类似 2022 年的 Last Pass 被入侵事件。这样你自己给 bitwarden 开 2FA 也没用。你存在 bitwarden 的数据已经被绕过验证一锅端了
如果你也像 #8 所说的那样,只在乎其他账户的密码泄露这种场景,那么都存到 Bitwarden 是没问题 iOS 用户迁移到哪个软件比较好? bitwarden啊。bitwarden也出了一个验证码app。
—— 来自 realme RMX3888, Android 15, 鹅球 v3.4.98 iOS用的authy真的没发现……之前砍了桌面,现在直接废了吗?也太快了……
BitWarden我自建了,目前验证码总有不能自动填入的情况。另外Authy我就是用来填BitWarden的验证码的…尴了个尬 另外有群晖的可以用群晖secure signin。
—— 来自 realme RMX3888, Android 15, 鹅球 v3.4.98 lhw369 发表于 2025-3-9 16:02
另外有群晖的可以用群晖secure signin。
—— 来自 realme RMX3888, Android 15, 鹅球 v3.4.98 ...
群晖这玩意甚至不用你有群晖NAS,因为是和群晖官网同步的,免费注册账号就行
但是我建议趁这次机会远离任何像Authy、群晖Secure Signin这种导入以后就不能导出、只做一锤子买卖的服务,哪天人家不干了或者暴雷了,你只能对着你的2FA账号列表一个个去访问这些账号的网站重新设置2FA。而像2FAS这样的,你可以从软件里导出当时注册2FA的token到别的软件里用 https://github.com/AChep/keyguard-app
一个开源第三方BitWarden客户端,可以免会员使用2fa认证,而且也能同步到BitWarden的服务器上 我现在登不进去了于是完全不记得自己是哪个账号绑在这上面.... 本帖最后由 生存戰略 于 2025-3-9 22:47 编辑
5long 发表于 2025-3-9 15:39
套娃还好,但我担心的是 bitwarden 的服务器端出了问题,比如类似 2022 年的 Last Pass 被入侵事件。这样 ...
自托管的bitwarden也有2FA,当然自托管服务器安全也是个问题。 微软不是有一个验证app么,Authenticator,用了好几年了,还行。
—— 来自 S1Fun 还是得分两个应用,不然密码管理器本身的2FA没地放,或者变成保险箱的钥匙放保险箱里 Pinchbeck 发表于 2025-3-10 09:16
还是得分两个应用,不然密码管理器本身的2FA没地放,或者变成保险箱的钥匙放保险箱里 ...
冷知识,2FA验证码算法都是一样的,并不限你绑定几个应用
所以你真不怕的话,完全可以把所有验证码存密码管理器里(以Bitwarden为例,就算连不上服务器,只要手上有已经登录的实例,还是可以打开查看验证码和密码的),然后再弄个其他的2FA服务把密码管理器的2FA验证码多存一份备用以防万一 john 发表于 2025-3-10 09:22
冷知识,2FA验证码算法都是一样的,并不限你绑定几个应用
所以你真不怕的话,完全可以把所有验证码存密 ...
确实不限存几份,所以保险箱里的那把钥匙更没意义了,你能拿到它就说明不需要它 Pinchbeck 发表于 2025-3-10 09:27
确实不限存几份,所以保险箱里的那把钥匙更没意义了,你能拿到它就说明不需要它 ...
拿着手机登录网页版或者浏览器插件的时候还是用得到的
2stage 发表于 2025-3-9 15:55
iOS 用户迁移到哪个软件比较好?
我现在在用2FAS,微软备用,Vaultwarden放几个经常需要登录怕麻烦的
然后今天发现1panel的应用列表里有这玩意,好像也不是不行,你做个网页,四舍五入也算是跨平台同步
https://2fauth.app/
纯果系用户可以切去password,支持查看secret。这样将来也方便迁移,不用每个都去reset(authy就看不到) Fury 发表于 2025-3-10 22:51
纯果系用户可以切去password,支持查看secret。这样将来也方便迁移,不用每个都去reset(authy就看不到) ...
阿果自带这个,似乎是不支持在你没有储存网站密码的情况下储存2FA验证码 john 发表于 2025-3-10 23:15 Fury 发表于 2025-3-10 22:51 纯果系用户可以切去password,支持查看secret。这样将来也方便迁移,不用每个都去reset(authy就看不到) ... 阿果自带这个,似乎是不支持在你没有储存网站密码的情况下储存2FA验证码
试了下,确实 草了,刚刚去删Authy账户,为什么我还能收到短信验证码
算了,换了更靠谱的服务也没啥不好的 感谢提醒,虽然删authy账户的时候还是收到短信了,但还是全迁移到2fas了,能导出安心一些 iOS 自带的密码 App 就支持 TOTP,不过我觉得最方便的是浏览器插件 https://github.com/Authenticator-Extension/Authenticator
页:
[1]