V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
none
V2EX  ›  Google

使用 Google Authenticator 被坑了

  •  2
     
  •   none · 2021-10-06 19:24:49 +08:00 · 18178 次点击
    这是一个创建于 904 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天使用 iPhone 版本的 Google Authenticator 时发现之前保存的记录有重复的,刷新多次和重新打开 app 都没用,于是就把重复项删除了。 过了一会儿再次打开发现刚才删除的项都不见了。。。 这个应用的数据按理都保存在本地,不联网的,不知道怎么会出现这种情况,导致误删了。。。

    第 1 条附言  ·  2021-10-07 21:13:37 +08:00
    没想到有这么多人中招过了,目前没办法找回了,只能按各个网站的流程要求申请 禁用 /重置 2FA,就是麻烦了点。
    现在我也使用了微软的 Authenticator,这个貌似有备份和恢复功能。
    目前在 Google 的和微软的 Authenticator 里同时添加账号以防万一,之后总不能两个 app 同时出问题吧。
    132 条回复    2023-09-05 19:08:13 +08:00
    1  2  
    SimonOne
        101
    SimonOne  
       2021-10-08 13:45:14 +08:00
    mercury233
        102
    mercury233  
       2021-10-08 13:50:11 +08:00
    @cairnechen 我才注意到他说的是扩展,按字面意思理解应该是不可能的,他应该想表达的是第三方程序
    q197
        103
    q197  
       2021-10-08 13:53:24 +08:00 via Android
    @spediacn
    使用 Windows 提供的 api 加密,如果电脑不开机状态下硬盘中对应数据是加密的
    q197
        104
    q197  
       2021-10-08 13:54:19 +08:00 via Android
    Android 平台推荐开源的 andotp,没有任何云功能,靠自己备份
    2i2Re2PLMaDnghL
        105
    2i2Re2PLMaDnghL  
       2021-10-08 13:56:25 +08:00   ❤️ 2
    @maleclub 第零:不要把 2FA 和其他账户密码放在一起。
    manami
        106
    manami  
       2021-10-08 13:59:18 +08:00
    Authy
    maleclub
        107
    maleclub  
       2021-10-08 14:17:25 +08:00 via iPhone
    @2i2Re2PLMaDnghL 为何?既然统一放密码管理软件了,我为嘛还要分开?原因何在?
    2i2Re2PLMaDnghL
        108
    2i2Re2PLMaDnghL  
       2021-10-08 14:27:50 +08:00
    @Microseft 请你看下 sp800-63b,其实 OTP 的作用应当是**取代密码**作为常用登录手段,而密码作为备份登录手段。

    主要还是涉及金钱交易或波及许多人才需要上 AAL2,比如按楼下的比方,digitalocean 账户如果被攻击者控制,可能会篡改 DNS 记录把用户引到攻击者的钓鱼平台上,让用户给这个钓鱼平台付费。再者,如果 pythonhosted 网站 DNS 被篡改,就可能让大量用户下载到带有恶意代码的内容(想起好像 CPAN 似乎被搞过破坏,那时官方第一时间宣告,不要从 CPAN 下载任何内容)。
    但如果你的网站根本不涉及金钱交易也不是基础设施,就是个很随便的个人博客,那你显然不需要 AAL2 。
    至于 AAL3 是不太可能个人用户需要使用的,该用得上的时候不会有人想要偷懒的。不排除有可能是核弹发射设施或者宙斯盾控制中心。

    @tammy 邮件验证码也是一种 2FA,只不过不是 TOTP ( time-based one time password ),而是 OOB ( out-of-band )
    你这是在通过把 OTP 记录到密码管理器一起,实际上是破坏 2FA,根本不构成任何论证,反而是再次说明了什么叫『 2FA 就是坑自己』,只不过这里是 DO 强制你坑自己,你决定绕过它,从而使得 2FA 不会坑你自己(这段话有点饶舌)。
    (不过,如上所述,在某些情况下破坏 2FA 也是可接受的。你是自由的,一切优劣该由你独断)
    2i2Re2PLMaDnghL
        109
    2i2Re2PLMaDnghL  
       2021-10-08 14:28:40 +08:00   ❤️ 1
    @maleclub 简单地说:放一起那就不叫 2FA 了
    kinXdle
        110
    kinXdle  
       2021-10-08 15:07:59 +08:00
    我用 bitwarden
    maleclub
        111
    maleclub  
       2021-10-08 15:58:05 +08:00 via Android
    @2i2Re2PLMaDnghL ??? 1password 或者 keepass 等密码管理软件通过保存 otp 的键值来生成 totp 动态密码?这不安全?难道软件设计有问题?
    maleclub
        112
    maleclub  
       2021-10-08 16:01:56 +08:00 via Android
    @2i2Re2PLMaDnghL 我明白你的意思了,敬慎考虑确实不应该放在一起
    dolphintwo
        113
    dolphintwo  
       2021-10-08 16:30:44 +08:00
    GA 遇到过,后来换了 1P,再也不担心了
    q1angch0u
        114
    q1angch0u  
       2021-10-08 20:26:35 +08:00 via iPhone
    @skfu 设置-密码-随便点一个-设置验证码
    301hwtz
        115
    301hwtz  
       2021-10-08 22:44:16 +08:00
    免费海外 301 跳转系统,专注解决被墙域名,最新 100%跳转成功,不限域名不限内容,官方网站: https:guoqiang301,没有任何收费项目注册即用
    Cassius
        116
    Cassius  
       2021-10-08 23:25:13 +08:00
    GA 可以导出啊. 现在是 2 个手机刚好互相备份
    2i2Re2PLMaDnghL
        117
    2i2Re2PLMaDnghL  
       2021-10-09 01:28:08 +08:00   ❤️ 1
    @maleclub 当时刚被主管叫住一时发出来了,现在看下我说得有点谜……
    你能自己搞懂也是挺厉害的。

    keepassxc 官方文档建议把 otp 放另一个数据库
    keepassxc[.]org/docs/#faq-security-totp

    1password 也有相关的,并且明确指正一个误区,TOTP 不一定等于 2FA
    blog.1password[.]com/totp-and-1password/#totp-isnt-the-same-as-two-factor-security

    他们都对此作出了权衡,或者说实现了功能允许用户作出权衡。
    『一切皆 trace-off 』…… 我可能确实太苛刻了。

    提点怪的:
    微软是彻底玩透了,干脆取消密码,直接上 TOTP (安全性不亚于密码,甚至不少现实条件下反而更好)
    medium 则是我从来没见过密码,只有 OOB (只能给邮箱发登录链接)
    lovehigh
        118
    lovehigh  
       2021-10-09 10:27:23 +08:00
    最开始我也用 google authenticator,后来想设备同步切换到了 Authy 。目前方案是用 keepass 来管理,手机端直接通过坚果云同步数据库就行,TOTP 也没问题。
    skiy
        119
    skiy  
       2021-10-09 16:45:22 +08:00 via Android
    @lovehigh 我现在是 keepassxc + syncthing 。唯一不足的就是 keepassxc 没有手机端。
    skiy
        120
    skiy  
       2021-10-09 16:47:48 +08:00 via Android
    @hw028 😂为了证实你的说法。我删了。然后要爬墙用 play 恢复数据才行。我一直以为是同步到 onedrive 上。现在才注意到只同步密码
    skiy
        121
    skiy  
       2021-10-09 16:48:01 +08:00 via Android
    @hw028 😂为了证实你的说法。我删了。然后要爬墙用 play 恢复数据才行。我一直以为是同步到 onedrive 上。现在才注意到只同步密码填充的数据
    hw028
        122
    hw028  
       2021-10-09 22:00:10 +08:00
    @skiy 为了验证你要忙一小会了,我现在记住了,一定要手机备份好,我上一次从手机备份可以恢复数据,云端有点问题。
    spediacn
        123
    spediacn  
       2021-10-10 04:02:21 +08:00 via iPhone
    @xingheng 复现很简单,你先存几个无关痛痒的密码进去,然后注册一个 dashlane 的新号,装上 chrome 插件,过一会儿他就主动把你的 chrome 里自带的密码都导进去了。曾经因为这个问题我发信问过 dashlane 客服,后面可能有修改会要求用户确认一下,但无论如何,它可以直接把 chrome 密码全读出来
    janssenkm
        124
    janssenkm  
       2021-10-10 04:09:26 +08:00 via iPhone
    Authy 好用,但它显示有问题,名字稍长点就被隐藏了,对于有几百个账号的使用场景来说查找非常费力。
    另外 Authy 能新增但我一直没在手机上找到删除或修改,只有 show/hide,很郁闷
    xingheng
        125
    xingheng  
       2021-10-10 10:29:27 +08:00
    @spediacn #123 听起来好像是个大漏洞,是 windows 还是 macos,macos 版本的 chrome 密码还是存在了系统自动的 keychain,windows 版的就不知道了。
    skiy
        126
    skiy  
       2021-10-10 22:37:57 +08:00
    @hw028 还好吧。我因为前段时间在苹果手机使用 Google 验证器的时候,有一条数据出现了两条,删掉其中一条后,两条都没了。然后才切换到了 微软验证器。不过看来之前有这么多人都出现过各种各样的问题。不知道 Authy 会不会好些?数据会同步吗?
    feimin
        127
    feimin  
       2021-10-11 00:16:30 +08:00
    建议换 bitwarden
    hw028
        128
    hw028  
       2021-10-11 08:53:41 +08:00
    @skiy 我现在还在坚守微软和谷歌的验证器,没有用过 Authy 。
    shangsharon
        129
    shangsharon  
       2021-10-11 12:24:18 +08:00
    之前也是看了 v 友的帖子,十一前专门把各个应用的 2FA 都转到了微软的 Authenticator,想着能自动同步,备份恢复.正好想刷机 root 一下,隔了几天刷完机之后再装上 Authenticator,瞬间凉了,只给我同步了一个公司 gitlab 服务的密码,都要疯了,十几个 app 的密钥都没同步,火币也登录不了了,几百万(/狗头)没了,又要一个个重置了,不知道能不能找回
    tankren
        130
    tankren  
       2021-10-12 16:40:05 +08:00
    我用的 Authy
    OnlineParty
        131
    OnlineParty  
       2021-12-22 01:30:19 +08:00 via Android
    我艹,我也中招了,日
    moneko
        132
    moneko  
       205 天前
    推荐一下, 我用的 Auth2FA, 欢迎大家 Star

    https://github.com/monako97/2fa-for-macOS
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   951 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:49 · PVG 05:49 · LAX 14:49 · JFK 17:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.