开个脑洞：如何在陌生设备上证明『我是我』

如果只是想要随时查看 2FA 验证码的话，推荐自部署 2FAuth 这个项目，网页登录在线查看已存储的所有 2FA 验证码。项目地址： https://github.com/Bubka/2FAuth

recovery code 就是用来解决这个问题的，设置 MFA 时会提供多组 code ，就是为了应急用的。我的做法是，把这些 code 写入 txt 文件，放入自己的网盘（ cloudreve ），需要的时候打开网页登录下载就行，由于是自己建的网盘，没多少人知道，所以不需要二次验证，只需要账号密码即可。

这种情况还是重新补办一张手机卡，花五十块钱买个按键老人机收短信吧
理论上只要有手机号，我就能登上我的邮箱，有了邮箱我就能登录我自建的 bitwarden ，二次验证什么的就都没问题了。

yubikey

@newpost Bitwarden 官方版支持紧急联系人，但我是自己搭建的 Vaultwarden ，也没有配置发信功能，即使支持，怕也没什么人能接收到

@thatlazyman
@phithon
@Kirkcong

恢复码我在常用存储设备上均有备份（五块硬盘，可能还会考虑多加两个 U 盘），但是打印下来做成小卡片确实是个好主意

这一直是我遇到的实际问题，目前我还没有探索到好的方式来解决 ta

所有方法归根结底就是 something you know 或者 something you have 。其实从一开始你的密码管理器就不应该用 MFA ，只用一个足够复杂的主密码就行；因为你说的这种最后的方法还是 something you know ，本质还是个密码，反而会因为平时不用，真到需要的时候就忘了。
密码管理器用一个足够复杂的主密码，配合定时修改，定时强制输入防止忘记，是最好的方法。

另外就是不要把鸡蛋放在同一个篮子里。真的那种出门在外丢了所有随身物品还要求能访问的信息，只能用脑子里的东西（密码）来做。但是这种东西能有多少？剩下信息可以用 MFA ，把备用密钥放在家里，就算在东西丢了，只要能回家就行。或者放在亲戚朋友那，然后记住他们的电话，遇到你说的这种情况就借点钱打个电话让他们帮你恢复。不过这个也需要你这个事前有一定的「演练」。

支付宝 Web 支付，按他那个判定条件就行。

Yubikey 这样的通行密钥(passkey)就支持这个场景

我是用了群晖的 Secure Signin 来作为 OTP 管理的，好处就是手机不在身边，可以用别的手机或 pad 下载 app 登录同一个群晖账号（当然账号本身也需要邮箱收验证码，不然就死循环了）来解决。

我会带一只手表，在上面看 OTP 其实和大家提的物理 passkey 大差不差吧

@MFWT 有想过这个方案，但实体容易丢失，不易保存，如果这样，不如直接上 yubikey 。不过如果 op 真的采用这个方法，建议打印前把文字转成二维码，用的时候扫描+复制即可

整个 yubikey 挂钥匙串上，不过这玩意不太喜欢水，泡水 USB 接口会暂时用不了，得晾干才可以，虽然也挺耐造的。

yubikey 作为可信设备，知道你的账号的情况下，是可以直接登录你的账户的
但是在一台不是自己的电脑上登录任何账户是一件非常危险的事情，要做好彻底丢失账号的准备

倒不如记住向日葵的密码，远程链接到受信设备上

用密保问题来去验证/重置，答案在你脑子里，你只要不泄露，你就可以证明“我是我”。

2FA 我是真不喜欢用，我知道我的账号重要，但重要的我已经用了独立密码，不需要为难我自己登录

@totoro625 yubikey fido2/webauthn 有 pin 保护的，还得在 8 次内把 pin 试出来，用 totp 和 u2f 确实不太安全插入就能读，不需要 pin

@OkotoO 手表使用 esim 的一号双终端其实是蛮好的一个选择，一般情况下手表不会离身，而一号双终端相当于手机号的异地双活
在最终的 recovery 手段包含手机号的情况下还是蛮好用的

webauthn 是最简单便捷的方式