这是一个创建于 374 天前的主题,其中的信息可能已经有所发展或是发生改变。
前情提要:
被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了( https://www.v2ex.com/t/989278 )
我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论( https://www.v2ex.com/t/989309 )
现在这些东西暴露给用户的逻辑这么复杂/自以为是,连上 v2 的程序员都搞不清,别说普通人了。普通人遇上这种情况,根本就是束手无策:以往用电脑、nas 存个照片,还能拆硬盘找找,也可以用很简单(普通人能看懂)的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ,或者是云备份被删除的 2fa ,只能认栽了。
个人目前照片文档是存 onedrive 的,ios 端,安卓端,mac 端都可以自动上传,暂时也没有文件损坏的大新闻。2fa 十几个,都通过 google auth app 同步,bitwarden 官方 app 存密码(不是自建)。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了,而且自家 nas 理论上保证率不如云服务高(实际上 emmm ),到头来只是存个照片、密码而已。
个人是没法不用 vault 的,现在每个 app 、网站 id 、密码要求千奇百怪,如果不用 vault ,唯一的结果就是用一次找回一次((
欢迎大家随便聊聊
被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了( https://www.v2ex.com/t/989278 )
我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论( https://www.v2ex.com/t/989309 )
现在这些东西暴露给用户的逻辑这么复杂/自以为是,连上 v2 的程序员都搞不清,别说普通人了。普通人遇上这种情况,根本就是束手无策:以往用电脑、nas 存个照片,还能拆硬盘找找,也可以用很简单(普通人能看懂)的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ,或者是云备份被删除的 2fa ,只能认栽了。
个人目前照片文档是存 onedrive 的,ios 端,安卓端,mac 端都可以自动上传,暂时也没有文件损坏的大新闻。2fa 十几个,都通过 google auth app 同步,bitwarden 官方 app 存密码(不是自建)。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了,而且自家 nas 理论上保证率不如云服务高(实际上 emmm ),到头来只是存个照片、密码而已。
个人是没法不用 vault 的,现在每个 app 、网站 id 、密码要求千奇百怪,如果不用 vault ,唯一的结果就是用一次找回一次((
欢迎大家随便聊聊
 |
1
q534 OP 是否,信息安全专家们正在朝着奇怪的方向狂奔?
|
 |
2
caomu 2023-11-07 09:48:05 +08:00 via Android  1
也有另一种可能,小白用户完全不折腾这些,就随手保存随手删。像我家人从来不说手机储存小了,因为他们时不时就会删旧照片啥的,操作逻辑与数码相机/功能手机时代比较接近。所以厂商的思路也是隐藏细节。像我们这种懂一点,但又没有充足的时间精力去折腾个彻底的,就会去各种操作然后触发 bug ,相当于志愿测试员了。
|
 |
3
testonly 2023-11-07 09:49:29 +08:00 3
我在你连接里那楼回复过了。
密码只需要靠问题和邮箱能拿回的年代我从没丢过账号密码,至今也没被 HACK 过账号,但自从那些狗平台搞一大堆安全东西后,就在我密码,问题,邮箱都对情况下,以怀疑我不是我为理由将我的不活跃账号一个一个拿走,根本这些狗平台就是在害人。 而且现在还已经用手机号代替邮箱,根本有手机号情况下,最多能短时 HACK 掉你账号,想长期拿走根本就没可能。 |
 |
4
billlee 2023-11-07 10:04:13 +08:00 via Android
都是 trade off, 像以前那样不加密就会出现冠希哥那样的事故
|
 |
5
manasheep 2023-11-07 10:11:41 +08:00 3
我一直建议程序员自己写个不可逆的密码算法,只记住一个主密码,然后主密码+应用名作为参数传入函数(比如“abc123”+“微软”),生成密码,这样你每个平台的密码都是不一样的,而且主密码是不在任何场合出现的,算法是只有你自己有且不可逆的,就完全不担心泄露。
PS:如果希望单独平台泄露后修改为新密码,可以考虑再加一个版本号作为参数,比如:“abc123”+“163.com”+“v3” |
 |
6
shyangs 2023-11-07 10:12:32 +08:00
v2ex 註冊根本沒有門檻,用戶不一定是程式設計師.
就算是程式設計師,如果不是科班的,可能也沒修過密碼學、資安. |
 |
7
3willashepherd 2023-11-07 10:13:48 +08:00 1
本地机械硬盘冷存储吧,我就是这么干的,数据在自己手里才是安全的,定期检查硬盘状态,2 块及以上硬盘异地放置(没条件放在不一样的地方就行),信网盘不如信我是秦始皇.
|
 |
9
tool2d 2023-11-07 10:15:51 +08:00
其实不复杂,我 2fa 密钥我都是明文保存到自己代码库里,代码库有多个备份,一般来说不会丢。
网站要登录的话,马上算一下出结果就是了。 |
 |
11
shinsekai 2023-11-07 10:20:58 +08:00
主要是同步这个词太复杂。同步操作,还是同步结果?
|
 |
13
bugmakerxs 2023-11-07 10:23:51 +08:00
日常密码不正确,找回密码重新输入密码时提示“不能用曾经使用过的密码”
然后我就自建 bitwarden 了,然后定期导出到 oss |
 |
14
adoal 2023-11-07 10:30:14 +08:00
复杂是信息系统的内在特征。机器是违反直觉的。
|
 |
15
amiaaaz 2023-11-07 10:36:08 +08:00
“用一次找回一次”真的太有既视感了……
|
 |
16
yvescheung 2023-11-07 10:45:35 +08:00
我的理解是,这些安全措施更多是为了提高迁移成本,将用户困在自己的软件里
而这些安全措施有时候反而会更不安全,前段时间 Fortress Trust 被盗了 1500 万美元的加密货币,罪魁祸首就是谷歌验证器云端同步被攻击 |
 |
17
C3POX 2023-11-07 10:46:05 +08:00
现在 Apple 和 Google 在推的通行密钥,或许能解决密码复杂性要求多的问题
|
|
18
C3POX 2023-11-07 10:50:33 +08:00
国内的应用基本都是手机号一键登录,安全性要求高的再加上人脸识别,很适合普通人使用
|
 |
19
totoro625 2023-11-07 10:53:31 +08:00
银行 App 真的是用一次找回一次密码,后来我把密码都记在密码管理器内了
再然后发现不管密码对不对,第一次登录都要人脸识别来一遍,发现朋友用弱密码也没任何安全问题,不怕被盗 PS:google auth app 可能也不靠谱,任何不方便转移到另一个软件的东西都不靠谱 |
 |
20
dode 2023-11-07 10:56:54 +08:00
搞了备用机以防手机坏掉
|
 |
21
timeance 2023-11-07 11:42:12 +08:00
突然发现我没保存 google auth 的恢复码用了这么多年... 现在有啥办法管理 2FA 吗?
之前打印了恢复码,但是搬家的时候丢了 |
 |
22
gloeaerris 2023-11-07 12:42:08 +08:00
2fa 我都是 vaultwarden 存一份(每日定时 webdav 备份到坚果云),authy 一份,主要还是用 vaultwarden ,做好数据库备份
|
 |
23
F798 2023-11-07 12:51:52 +08:00 via iPhone
看了你那个 ios 剩余空间的帖子,感觉都是你自己折腾出来的
|
 |
24
ovtfkw 2023-11-07 13:09:47 +08:00
vault 是啥,能不能整通俗一点
|
 |
25
ZxykM 2023-11-07 13:11:57 +08:00
我 2fa 用的 aegis 然后用 syncfolder 进行 webdav 同步到坚果云
|
 |
26
liprais 2023-11-07 13:13:19 +08:00
没有金刚钻别揽瓷器活
|
 |
27
sayitagain 2023-11-07 13:18:17 +08:00
我曾经的淘宝密码里有个 单引号...后来被限制登录要求我去掉这个符号 T T
|
 |
28
ivvei 2023-11-07 13:30:39 +08:00 via Android
@manasheep 想简单了,不同站点可能有不同的密码过期规则,强行要求你改密码。不同站点对密码的长度和允许的符号也有不同要求,有些强制要求大小写字母加数字和符号,有些不允许出现符号只能数字和字母。
|
 |
29
iyaozhen 2023-11-07 13:35:53 +08:00
实话告诉你小白压根不管这些,根本不备份,丢了就丢了
我认识的密码就是写在手机记事本里面(记事本可以单独设置密码)或者就直接微信收藏(可以不断编辑) 而且国内可以一个手机号走天下,密码都不用设置,走短信 |
 |
31
la2la 2023-11-07 14:12:36 +08:00
自己编了一个大小写带符号字母的密码,用在所有需要密码的地方。反正我的信息也不值钱,费这个劲干啥
|
 |
32
iniMeow 2023-11-07 14:21:27 +08:00
不太懂这些,为什么需要另外配置一个密码管理器呢? 苹果的钥匙串对我来说足够方便了(
|
 |
33
ding2dong 2023-11-07 14:25:15 +08:00
>>> 有意思,我是脑内转换加参,很简单,但防撞库,防忘,有奇效
---------------------------------- 这样也不是很安全的,你也不知道有些牛鬼蛇神会不会存储你的明文密码。。 我是遇到过的 |
 |
34
NoOneNoBody 2023-11-07 14:30:57 +08:00
|
|
35
NoOneNoBody 2023-11-07 14:35:10 +08:00
@timeance #21
google 恢复码可以重设的,只要你手上的 2FA 还行得通,具体步骤查 google help |
 |
36
merlinliu1 2023-11-07 14:39:23 +08:00
同不理解,连手机都得设置个密码,iphone 想不设置密码都不行
|
 |
37
aogg 2023-11-07 14:53:06 +08:00
github 登录必须 2fa 有谁遇到的
|
 |
38
freewarcraft 2023-11-07 14:53:55 +08:00
@manasheep 你这方法我也用过,但后来我发现改几次密码我就不记得版本参数了😂 还是老老实实用 1password
|
|
39
q534 OP @ding2dong 这个问题我是这样的,分级别,顶级是金融等类的独立设置,比较重复的就是论坛类的,丢了也不心疼。尽量在方便和安全之间平衡一下子。
|
|
41
q534 OP |
 |
42
himawari8 2023-11-07 15:50:44 +08:00
我是纯文本模式保存密码,不想受限于各个专有 app 专有格式。用 evernote ,一个笔记保存一个网站的的所有信息,比如 ID ,密码,邮箱,手机号,密码问题,2fa ,卡号之类的....密码和手机号保存为部分带"*"的助记符
|
 |
43
xiamy1314 2023-11-07 15:56:18 +08:00
直接存 vaultwarden ,定期导出保存下密码不就好了。 不过周围没多少人用密码软件,很多都是短信登录就可以,换手机登录之类的还要验证码,安全性还是有保障的。
|
 |
44
ltkun 2023-11-07 15:59:50 +08:00 via Android
作为一个程序员还没有自建数据中心的觉悟 是一个不合格的程序员
|
 |
45
vcn8yjOogEL 2023-11-07 16:04:10 +08:00
KeePass 直接存本地文件里,简单粗暴安全好用
只要多端同步逻辑就必然复杂,故障率也必然会飙升,但一密码管理器本来也用不上多端 diff ,何苦呢 |
|
47
manasheep 2023-11-07 16:22:21 +08:00
@freewarcraft 为啥频繁改呢,我的绝大多数密码都没改过
|
 |
48
f165af34d4830eeb 2023-11-07 16:31:12 +08:00
其实本站站长已经建议过了,2fa 的 qr code 可以复制保存一份。
所以我除了 authenticator 的云备份外,本地也会加密打包保存一份 qr code ,作为云备份不可用时的灾备恢复手段,简单但靠谱。 |
|
49
f165af34d4830eeb 2023-11-07 16:32:00 +08:00
@f165af34d4830eeb #48 添加 V2EX 2fa 时大家应该都能看到站长的建议
|
 |
51
ytmsdy 2023-11-07 20:12:47 +08:00
谷歌的 2FA 好像是有云同步的,如果没云同步,2FA 丢失感觉就是灾难。
要被折腾死的感觉。 |
 |
52
kkk9 2023-11-08 02:20:15 +08:00
@sayitagain #27 阿里人防 sql 的日常 阿里人防 xss 的日常 😂
|
 |
53
H0H 2023-11-08 08:14:24 +08:00
这种就不应该是 V 友提的问题。你网上搜搜,被脱裤的大厂还少吗?不少大厂的用户密码就是明文存储的,或者是简单的加盐,最终都可以计算出真正的原始密码。这样就可以到其他网站撞库了。
正因为密码泄漏的太多了,而且有的泄漏后果很严重,所以密码方案才不得不一直升级。现在网站基本上都弃用 http ,改成 https ,不都是类似原因嘛。 至于怎么确保密码、文件不丢,建议认真理解理解什么是同步、备份、增量备份 |
 |
54
duke807 2023-11-08 08:55:49 +08:00
其实最好的解决方案是不用密码
各大网站要登录的时候,发送验证邮件到用户邮箱,用户点击确认连接即可登入,譬如登录一次可以一周或半个月有效 用户要做的是保护好邮箱登录这一个密码即可 为何大厂不这么做呢?因为它们蠢。 |
Select Language