V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Cloud200
V2EX  ›  信息安全

被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了

  •  4
     
  •   Cloud200 · 2023-11-06 22:26:26 +08:00 · 26692 次点击
    这是一个创建于 397 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨晚本人的手机进水突然变砖头,首先想到的就是在备用机恢复微软验证器的二步验证云备份。

    但是!因为当时已经有了一些 2FA,想要启用备份。

    官网文档讲的的账户页面我根本找不到,无可奈何就想着登录一下,点击启用备份按钮后它居然把我旧手机的两个 2FA 覆盖 上去了!(居然不是合并吗?)

    我又点了一下停止备份,结果它又直接把云备份删除了???破大防了一个晚上。

    后面才发现,要新设备(新安装的状态)屏幕下的 “恢复” 按钮才能恢复。不知道的人就容易被坑惨,如果应用已经有使用痕迹,就根本找不到一个 恢复按钮

    幸好 Bitwarden 有恢复码才幸免于难。差点丢掉仓库访问权限。

    来 V 站搜了搜 t/805856 t/882833 t/800538 原来我不是一个人

    关闭云备份自动删除,其他设备开启云备份自动全部覆盖,云备份机制太迷了。

    第 1 条附言  ·  2023-11-07 15:01:58 +08:00
    据小伙伴 @0DBBFF 说,谷歌商店下载的 Authy 收不到 +86 手机号的验证码,想换 Authy 的朋友注意欧
    第 2 条附言  ·  2023-11-07 22:19:27 +08:00
    感谢 @D33109 的建议,已换开源的 github.com/jamie-mh/AuthenticatorPro
    229 条回复    2024-11-13 14:27:19 +08:00
    1  2  3  
    enchilada2020
        1
    enchilada2020  
       2023-11-06 22:29:54 +08:00 via Android
    卧槽 吓得我赶紧备份恢复码(
    ladypxy
        2
    ladypxy  
       2023-11-06 22:31:46 +08:00 via iPhone
    说过无数遍,建议老老实实用 Authy
    微软和 google 的都是坑
    Cloud200
        3
    Cloud200  
    OP
       2023-11-06 22:33:17 +08:00   ❤️ 1
    @ladypxy 完蛋我刚换谷歌的
    icaolei
        4
    icaolei  
       2023-11-06 22:37:38 +08:00
    谷歌的可以上传云端,跟着账号走,便捷性稍微好点,安全性就仁者见仁了。
    Yien
        5
    Yien  
       2023-11-06 22:37:59 +08:00 via Android   ❤️ 3
    2FA 可以多个 App 一起用的,我是 MA 和 GA 一起用
    nullyouraise
        6
    nullyouraise  
       2023-11-06 22:38:59 +08:00   ❤️ 2
    自从 8 9 年前用 Google 验证器丢失了数据后,就换成 1Password 了,并且每一个两步验证添加时的二维码都截图另存一份
    hefish
        7
    hefish  
       2023-11-06 22:40:51 +08:00   ❤️ 6
    老老实实自建 vaultwarden ,咳咳。。
    nsf
        8
    nsf  
       2023-11-06 22:41:55 +08:00
    @Cloud200 google 貌似也是这个机制,之前我就被坑过。不知道现在是不是了。
    cdswyda
        9
    cdswyda  
       2023-11-06 22:42:19 +08:00
    正好蹲个答案,有管理密码的好方案吗?
    mohumohu
        10
    mohumohu  
       2023-11-06 22:42:38 +08:00
    安卓是吧,ios 就不用担心,走的 iCloud
    zeroDev
        11
    zeroDev  
       2023-11-06 22:43:06 +08:00 via Android   ❤️ 3
    这时候就体现了开源软件可以本地备份的重要性,Aegis
    Track13
        12
    Track13  
       2023-11-06 22:45:08 +08:00 via Android   ❤️ 2
    还是用 aegis 吧,导出加密备份后随便备份。(反正这东西又不会经常变更)
    v321ex
        13
    v321ex  
       2023-11-06 22:46:58 +08:00 via Android
    @ladypxy 那我不换 Google 的了
    Cloud200
        14
    Cloud200  
    OP
       2023-11-06 22:47:25 +08:00
    @nsf 啊?
    ViriF
        15
    ViriF  
       2023-11-06 22:49:25 +08:00
    今年好像见到好几次关于 MS Authenticator 记录不见的了,Yubikey 和 Yubikey Authenticator 可以满足需求吗?
    testonly
        16
    testonly  
       2023-11-06 22:49:59 +08:00   ❤️ 1
    那些网络安全专家搞得越来越复杂,这些鬼东西连这里一堆专门搞计算机的都有没看明白的,更勿论普通人甚至老人。
    以前没搞那么多东西出来时我万年没丢过一次密码,应该说到现在还没因为我自己账号被 HACK 情况下丢过账号,但搞一大堆安全验证后,你自己记得密码恢复问题邮箱都不给你登录,我的账号被那些狗平台一个一个的拿走。
    lucifer518
        17
    lucifer518  
       2023-11-06 22:50:14 +08:00   ❤️ 2
    MA 有个蛋疼的问题,iOS 换了 Android 之后,无法同步过来
    B3UzMhCd3dDvVVLa
        18
    B3UzMhCd3dDvVVLa  
       2023-11-06 22:53:16 +08:00
    前些年好不容易注册的海外 paypal ,两步验证被微软的验证器搞没了,想想就气
    Bingchunmoli
        19
    Bingchunmoli  
       2023-11-06 22:54:17 +08:00 via Android
    google 微软。keepass 三份存储。。
    winterbells
        20
    winterbells  
       2023-11-06 22:55:01 +08:00 via Android   ❤️ 1
    我是尽量不用这玩意儿…
    谷歌之前莫名其妙全丢了,害我废了好大劲才把账号都找回
    Helsing
        21
    Helsing  
       2023-11-06 22:55:33 +08:00 via iPhone
    我都是 iOS 钥匙串和 Bitwarden 各放一份,避免一窝端
    yumusb
        22
    yumusb  
       2023-11-06 22:59:29 +08:00
    https://v2ex.com/t/983621 趁机打个广告
    wongtk
        23
    wongtk  
       2023-11-06 23:00:19 +08:00 via iPhone
    Google 今年更新已经跟着账户备份
    Cloud200
        24
    Cloud200  
    OP
       2023-11-06 23:01:58 +08:00
    @wongtk ~~只有真丢的时候,才能检验可靠性~~ (致命玩笑
    PerFectTime
        25
    PerFectTime  
       2023-11-06 23:02:00 +08:00
    我之前也是,云备份的恢复直接被覆盖掉了。还好那时候的 2FA 只是加的测试,没有出现什么严重后果
    shijingshijing
        26
    shijingshijing  
       2023-11-06 23:02:19 +08:00
    开源+本地备份 才是王道,所有依赖云服务的都不可靠。
    zed1018
        27
    zed1018  
       2023-11-06 23:05:57 +08:00
    没遇到过,年年换新都是直接平滑迁移过来的
    ncepuzs
        28
    ncepuzs  
       2023-11-06 23:06:43 +08:00
    印象中 Microsoft Authenticator 已经在本站造成多起“惨案”了
    Fish12138
        29
    Fish12138  
       2023-11-06 23:11:10 +08:00
    确实 我前两天换手机就被坑了 用的爱思全备份 然后打开啥也没 然后就和你一样
    现在是 截图+GOOGLE+微软+apple (四舍五入感觉更不安全了)
    bobryjosin
        30
    bobryjosin  
       2023-11-06 23:13:43 +08:00
    我是整两个 yubikey ,两个 yubikey 都存一份,2FA APP 再存一份,在外面带 yubikey 就用 yubikey 没有就用 APP ,另一把作备份固定地方放好,APP 和其中一把 yubikey 丢了也不会失去控制权,如果恰好全丢了那估计是不可抗力,账号也不么重要了/doge
    zhusimaji
        31
    zhusimaji  
       2023-11-06 23:14:30 +08:00
    啊这,最近 github 要求 2fa ,刚使用上 ma
    jecvay
        32
    jecvay  
       2023-11-06 23:15:39 +08:00 via iPhone
    卧槽 吓得我赶紧起床整备份
    SnowMountain
        33
    SnowMountain  
       2023-11-06 23:22:49 +08:00 via iPad
    iOS 的也不省心,扫完码生成验证码后,弹了一下低电量,再去看被取消了,没保存上,r 星那边已经启用两步验证,怀疑人生
    iamjerry
        34
    iamjerry  
       2023-11-06 23:23:56 +08:00
    我就是这样中过一次招
    被删了

    现在改成 1p
    weidaizi
        35
    weidaizi  
       2023-11-06 23:35:30 +08:00   ❤️ 1
    看的我顺手扔出之前写的命令行 2fa 工具: https://github.com/MuggleWei/yoauth
    本地加密存储,备份只需要复制一份 data 文件到其他地方即可
    cnbatch
        36
    cnbatch  
       2023-11-06 23:36:56 +08:00
    这就是为什么我坚持在电脑保存一份原始认证码,以及更倾向于搞一套硬件密码器(我还发过提问贴),就算做云端备份也要保留一份手动备份。毕竟完全依赖手机的话,不但一点都不可靠,而且一个意外就能搞得自己手足无措。我就经历过。

    只不过有一大堆人迷之自信,觉得“意想不到的状况”一定轮不到自己,认为我的提问不合理,把我狂喷一顿。Naïve!
    hazy
        37
    hazy  
       2023-11-06 23:53:40 +08:00
    以前也一直用的 Microsoft Authenticator ,出于对微软靠谱性的怀疑,上次花了一下午把所有账号的 2FA 重新设置了一遍,全部用 Bitwarden 管理,同时保留一份本地截图和验证器密钥并加密存到云端; Bitwarden 的 TOTP 单独用 Google Authenticator 管理,并打印一份纸质备份,GA 不登录,不给联网权限。
    hululu
        38
    hululu  
       2023-11-07 00:18:45 +08:00 via iPhone
    我今天设置新手机,也遇到问题了,新手机的 app 无论如何都不能恢复回来,一点备份就覆盖云端,幸好就手机 app 有提示可以反覆盖云端,反复试才发现有恢复登陆模式,吓死个人
    ovulatingwife
        39
    ovulatingwife  
       2023-11-07 00:30:46 +08:00
    @ladypxy #2 authy 我怎么接收不到 sms
    NoOneNoBody
        40
    NoOneNoBody  
       2023-11-07 01:01:51 +08:00
    我有时真的很疑惑这个究竟是不是[高]技术人员聚集的地方
    分析新闻个个都头头是道,什么都能质疑,但盲信品牌的大有人在

    TOTP 是个极容易备份的东西,就是字符串而已,却很多人在这上面栽跟头,全盘备份都能搞定,几个字符串就……
    这些帖子看得我一头雾水
    03
        41
    03  
       2023-11-07 01:21:32 +08:00
    @NoOneNoBody 没踩过坑很多人自然就觉得软件里存了能导出/备份,为什么要自己存一份

    之前见过的 duo 也很脑残,有个 google drive 备份,让人以为设备坏了之类的情况也没事,但没有老设备不能访问备份
    NoOneNoBody
        42
    NoOneNoBody  
       2023-11-07 02:01:13 +08:00
    @03 #41
    人无远虑,必有近忧
    都是做过项目的人,应该分得清轻重缓急,做事多向前想两步就已经是巨大的差别

    人的视野不足 180 度,需要靠转身补足,腾出回旋空间,可以转身、后退,路才好走
    向前一步可以看到更远,但向后一步则是拓宽视野
    IvanLi127
        43
    IvanLi127  
       2023-11-07 02:11:29 +08:00 via Android
    微软那个真不正常,我不敢用了已经,感觉他的备份和恢复逻辑很迷惑,以前多个手机的数据想合并,没搞懂咋弄
    BeautifulSoap
        44
    BeautifulSoap  
       2023-11-07 02:29:13 +08:00 via Android   ❤️ 5
    如果 lz 用的是安卓的话,你看,root 的好处之一就体现出来了

    root 后用 SwiftBackup 直接连带着 app 的用户数据、Android ID 都给备份了,无论换的是什么牌子的手机只要新手机能 root 都能完美还原 app 和数据

    ps:我的 F2A 最终还是存在了 bitwarden 里
    jimmy3780
        45
    jimmy3780  
       2023-11-07 04:38:40 +08:00
    @SnowMountain 好奇,一般不是还要求输入 TOTP 的验证码来确保双方可以正确获得结果才能启用 2FA 么
    hhacker
        46
    hhacker  
       2023-11-07 05:25:21 +08:00
    救援码本地备份
    dingwen07
        47
    dingwen07  
       2023-11-07 05:33:05 +08:00
    老老实实把二维码截图保存并打印下来,我看你怎么丢
    qweruiop
        48
    qweruiop  
       2023-11-07 07:27:22 +08:00   ❤️ 1
    https://2fas.com/
    用这个吧。。。
    bluetree2039
        49
    bluetree2039  
       2023-11-07 07:30:07 +08:00 via iPhone
    @Bingchunmoli 请问几十个,怎么备份到谷歌?
    zenghx
        50
    zenghx  
       2023-11-07 08:04:53 +08:00 via iPhone
    我也这样被坑过,真不知道产品经理是怎么设计出来这么奇怪的逻辑的
    zmh69695328
        51
    zmh69695328  
       2023-11-07 08:13:17 +08:00 via Android
    我也中过招,也是换了 google
    cat9life
        52
    cat9life  
       2023-11-07 08:19:37 +08:00
    我也再用微软 谢谢提醒
    pnglog
        53
    pnglog  
       2023-11-07 08:21:34 +08:00
    微软我也中招过,这么大的公司同步的这么垃圾。现在改用 Google 的了,Google 现在可以跟随账号到也不怕。
    shuang930225
        54
    shuang930225  
       2023-11-07 08:22:08 +08:00
    @ladypxy Authy 是哪个?我现在用的 Authenticator
    Overbye
        55
    Overbye  
       2023-11-07 08:23:29 +08:00
    你不是一个人,我也被坑后转用 authy 了。好奇 Bitwarden 怎么备份恢复码的?
    liuidetmks
        56
    liuidetmks  
       2023-11-07 08:31:21 +08:00
    我也被微软坑过一次,他的 “同步” 总感觉有问题,不是普通人理解的同步 备份
    chenzw2
        57
    chenzw2  
       2023-11-07 08:33:57 +08:00
    恢复码收藏好就行,其它都可以随便丢
    knightgao2
        58
    knightgao2  
       2023-11-07 08:35:30 +08:00
    @bobryjosin yubikey 怎么存 2FA 的东西呀,我也准备了 2 个,但是不知道怎么弄
    lchkid
        59
    lchkid  
       2023-11-07 08:45:46 +08:00
    同时用过微软和谷歌的,还是用 google 的靠谱点
    usbaby
        60
    usbaby  
       2023-11-07 08:46:29 +08:00
    Authy 才是真的坑
    88268459
        61
    88268459  
       2023-11-07 08:48:37 +08:00
    你真的不是一个人,我已经不用它了。。
    luzemin
        62
    luzemin  
       2023-11-07 08:51:42 +08:00
    最近正好在开发 MFA 相关的东西,参考了一些网站,比如 atlassian ,你的手机不可用,还会有 emergency recovery code (当然这个要存好),用于登录,登录后可以重新使用新手机配置 MFA
    petercui
        63
    petercui  
       2023-11-07 08:53:38 +08:00
    1Password 辣么便宜你们也不愿意用么?
    a33291
        64
    a33291  
       2023-11-07 08:54:11 +08:00
    @Bingchunmoli 才发现 kesspass 也有 totp
    但是他这个 secret 密钥要手动输入,好像现在主流方式都是给一个二维码,请问是否二维码的内容就是这个 secret?
    dode
        65
    dode  
       2023-11-07 08:55:20 +08:00
    两个手机都存一份了
    ohmyzsh
        66
    ohmyzsh  
       2023-11-07 08:56:56 +08:00
    所以我从不用这种备份
    Seanfuck
        67
    Seanfuck  
       2023-11-07 09:00:18 +08:00
    @usbaby Authy 要翻墙,不然提示密码错误。
    zjuster
        68
    zjuster  
       2023-11-07 09:01:32 +08:00
    微软验证器在 iOS 存在 iCloud 里面的,但是恢复确实很麻烦,很有误导。

    我这次换手机最后是验证了一堆莫名奇妙的东西才恢复。

    @icaolei @Cloud200 我是因为谷歌丢了我所有的 2FA 才换的微软。谷歌是最近更新了云备份? 之前必须手动卸载设备再更新到新设备。
    lisxour
        69
    lisxour  
       2023-11-07 09:01:48 +08:00
    @a33291 是的,二维码的内容就是一串东西
    monkeyWie
        70
    monkeyWie  
       2023-11-07 09:03:32 +08:00
    用身份验证器扩展,然后备份到 google driver 还有 one drive
    freewarcraft
        71
    freewarcraft  
       2023-11-07 09:04:33 +08:00
    1password 敢一年收你几百块是有原因的🐶
    helloet
        72
    helloet  
       2023-11-07 09:07:13 +08:00
    自建 bitwarden + 定时备份到 cloudflare r2
    leedarmau
        73
    leedarmau  
       2023-11-07 09:09:36 +08:00
    1password 收费是有道理的。

    别的都可以折腾,这个没必要折腾。
    CodeCodeStudy
        74
    CodeCodeStudy  
       2023-11-07 09:11:03 +08:00
    2FA 本质上就是一个字符串,也就是厂商生成的密码,可以记录到 word 里,加密保存
    cheng6563
        75
    cheng6563  
       2023-11-07 09:11:38 +08:00
    Authy 登录需要手机号验证,小心以后收不到短信
    Stoney
        76
    Stoney  
       2023-11-07 09:11:49 +08:00 via iPhone
    这设计台脑残了吧
    LoneFireBlossom
        77
    LoneFireBlossom  
       2023-11-07 09:12:15 +08:00 via iPhone
    我觉得这种身份验证器好难用啊,平时二次验证还得专门打开一个 app 去看…有什么理由是不用 bit warden 这种软件放 2fa 的吗,安全问题?
    dya
        78
    dya  
       2023-11-07 09:14:40 +08:00
    我想问问新手机登陆 microsoft authenicator ,是不是也要输入 2FA 验证码才能登陆的(因为我的微软账户,也就是 outlook 邮箱是开启了两步验证的,而且我的 outlook 邮箱的两步验证密匙也是保存在 microsoft authenicator 上面的)?会不会陷入一个死循环?
    DIO
        79
    DIO  
       2023-11-07 09:19:29 +08:00
    我的 2FA 二维码从来都是截图保存的,纯纯为了应付某些网站的 2FA 要求
    DIO
        80
    DIO  
       2023-11-07 09:20:41 +08:00
    microsoft authenicator 之前也用过,感觉备份很奇怪就赶进转移了。现在只为微软授权使用,而且二维码也有保存。
    ichanne
        81
    ichanne  
       2023-11-07 09:22:08 +08:00
    之前是看别人 Google 丢才换的 Microsoft ,现在告诉我 Microsoft 也丢,我丢!
    Xbluer
        82
    Xbluer  
       2023-11-07 09:22:19 +08:00
    @LoneFireBlossom 密码已经放在 BitWarden 了,如果 2FA 也放里面,那么二次验证的意义就没了。
    ding2dong
        83
    ding2dong  
       2023-11-07 09:22:26 +08:00
    赶紧把我的恢复码备份到 bitwarden
    Lexgni
        84
    Lexgni  
       2023-11-07 09:22:34 +08:00
    我在微软丢了两次,第一次以为是没开备份,现在转谷歌了
    hafuhafu
        85
    hafuhafu  
       2023-11-07 09:31:18 +08:00
    我也丢过一次数据,全没了。还好有在其他软件上的备份。现在老老实实 Aegis 加云备份。
    yunyuyuan
        86
    yunyuyuan  
       2023-11-07 09:31:22 +08:00
    截图,加密上传到云盘(我用 rclone 的 encrypt 定时同步)
    clementewy
        87
    clementewy  
       2023-11-07 09:31:45 +08:00
    微软换了手机,死活恢复不了,不知到哪里出了问题
    Gzxhwq
        88
    Gzxhwq  
       2023-11-07 09:32:29 +08:00
    BitWarden 自建
    Aegis+Nextcloud 备份
    diagnostics
        89
    diagnostics  
       2023-11-07 09:34:24 +08:00
    @NoOneNoBody #40 工作忙没时间捣鼓这些,就这样,你现在还有心思每个星期手机刷个包,然后天天晚上各种体验优化?
    wyxls
        90
    wyxls  
       2023-11-07 09:34:47 +08:00
    很久以前用谷歌的 2FA APP ,后来换手机发现没法一键迁移,就转用微软的验证器了。现在所有网站账号的 2FA 的二维码图片以及识别出来的因子序列都用富文本保存在 NAS 里,然后定期加密备份到坚果云上

    哪怕被微软账号云同步覆盖掉或者本地 NAS 挂了,也还有一份在坚果云那,不过这时候只能一个一个扫码添加回去了
    yanhuamiluan
        91
    yanhuamiluan  
       2023-11-07 09:35:28 +08:00
    2FA 不就是一个 secret, 保存到文本上不就行了
    weilongs
        92
    weilongs  
       2023-11-07 09:36:09 +08:00
    今年开始用微软的,看来我也得赶紧备份一下。
    ladypxy
        93
    ladypxy  
       2023-11-07 09:49:52 +08:00
    @shuang930225 名字就叫做 Authy
    Helsing
        94
    Helsing  
       2023-11-07 09:54:25 +08:00 via iPhone
    @Xbluer #81 Bitwarden 不泄漏没什么问题
    PaulSamuelson
        95
    PaulSamuelson  
       2023-11-07 09:58:21 +08:00
    你是不是没做过,灾备、以及恢复演练。
    yiranshaxiao
        96
    yiranshaxiao  
       2023-11-07 10:02:31 +08:00
    怎么快速把微软的迁移到谷歌去?
    nzbstn
        97
    nzbstn  
       2023-11-07 10:03:09 +08:00
    所有云都不可靠, 只有自己的设备才是最放心的
    可以试试 keepass 系列, 内置 2FA 功能, 本地文件保存. 可以搭配各种云盘/webdav/同步工具组合使用
    我个人现在就是这么玩, 大部分密码都保存在 keepass + syncthing 实现实时多端同步, 反正有本地文件在手, 不怕丢
    nicaiwss
        98
    nicaiwss  
       2023-11-07 10:04:37 +08:00
    @zjuster 微软和苹果对同步备份的理解和普通人不一样,你理解的是同步,他做的其实是覆盖,而且你还不知道谁会覆盖谁,永远不要相信这两个公司的同步。google 今年更新了云备份,现在跟着账号走。
    Cloud200
        99
    Cloud200  
    OP
       2023-11-07 10:06:32 +08:00
    @yiranshaxiao 如果你截图了所有二维码,会比手动快一些!
    Xbluer
        100
    Xbluer  
       2023-11-07 10:07:19 +08:00   ❤️ 2
    @Helsing #94 2FA 可不就是为了防止密码泄漏之后账户被窃取么。为了安全门上装了两把锁,这倒好,直接两把钥匙焊在一块了。
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   952 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 20:35 · PVG 04:35 · LAX 12:35 · JFK 15:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.