GitHub 启用了 TOTP，国内有没有硬件级密码器可以买得到？

2023-08-23 18:56:01 +08:00

cnbatch

Google 了一圈，发现有一家瑞士制造商专门制作各种网站的硬件级密码器（公司叫做 token2 ），还可以自行编程设置写入它未曾预设的 profile ，比如 GitHub 。

在淘宝搜了一圈，搜到的密码器是专门给企业做内部授权用的，附带服务器侧解决方案，不适用于我这种普通网站 2FA 的普通用户。

京东连卖的都没有。

可能是我的搜索关键词不正确？我是直接搜 TOTP 。所以顺便问问，应该用什么关键字去搜？

我还考虑过海淘密码器，但发现有法规限制（商用密码进口许可清单），需要申请许可证，密码器才可以入境。

我手机也已经安装好相应的 TOTP 应用，备用密码串也已经下载好，但还是想弄一个硬件密码器。

多一个方案总没坏处

10788 次点击

所在节点

程序员

109 条回复

ShuWei

2023-08-24 15:23:25 +08:00

up 那所谓的不用手机的理由，就好比........，好吧，实在想不出什么合适的类比，没电了可以充电，屏幕碎了可以修一下，装个可以同步 token 的 app ，手机坏了的时候临时通过其他设备查看一下，等等之类，硬要把钻窄胡同认为是一种牛逼，实在想不通一般场景下有什么必须、立刻、马上、一分钟都等不了的要 otp 的需求

cnbatch

2023-08-24 15:39:30 +08:00

@ShuWei 手机没电要去充电，原本是为了方便自己结果一个没电耽误了几分钟（插充电器充电，然后去找备用方案生成密码），说实话我一点都不喜欢这样。
屏幕碎了要去修，真以为不需要钱不需要时间？我觉得你一定没遇到过手机碎屏的状况，而我真实遇到过，还为此付出了几百元现金，外加两天半的旧手机无法使用的麻烦。我也很不喜欢这样。
然后就像我前面说过的，弄那么多手机太占地方了，硬件密码器的体积远远远远小于手机。我同样很不喜欢为了看个密码就放着一堆大砖头。

你想不通需求没什么奇怪的，因为这单纯就是“我喜欢”，不能立即能够拿到 otp 时我很不爽。就这么简单。

vueli

2023-08-24 16:11:19 +08:00

zbowen66

2023-08-24 16:31:16 +08:00

@cnbatch #3 你手机坏了不会换手机吗？社交软件也在手机里，你咋不用飞鸽传书呢？

x86

2023-08-24 16:33:37 +08:00

硬件也存在坏的风险呀

cnbatch

2023-08-24 16:38:17 +08:00

@zbowen66 屏幕碎掉期间我被迫使用备用机，社交软件没法用，不过我可无所谓，反正电话号码能打。
然而换手机这个过程很耽误时间，我不爽。你咋非要杠飞鸽传书这么不友好。

cnbatch

2023-08-24 16:38:57 +08:00

@x86 没关系，硬件密码器体积那么小，多弄一个也不占很多地方

touchmii

2023-08-24 16:54:21 +08:00

谷歌有一个 rust 开发的开源固件, 使用 nrf 系列的设备可以支持, 不缺钱就直接买 yubico.

cnbatch

2023-08-24 16:59:57 +08:00

@tool2d 有道理，电脑上按一下立即跳出验证码，比起各种大而全的软件快捷多了

如果最后买不到硬件密码器的话，我决定就用你的办法

2218675712

2023-08-24 17:03:06 +08:00

@cnbatch 找到购买途径了吗

Shazoo

2023-08-24 17:05:27 +08:00

我用的 FreeOTP ，然后备份加密后丢网盘。

HFX3389

2023-08-24 17:07:32 +08:00

话说 YubiKey 这类东西如果坏了或丢了咋整....:D

laydown

2023-08-24 17:15:25 +08:00

杞人忧天。字符串保存好做好备份就行。一个设备担心损坏和没电，多个设备就行了，实在不行就买个专门的硬件，可硬件也要电或者插入设备啊，不会坏和没电吗，是不是另一套担心也来了。话说，楼主整天输这种验证码 N 次吗？

cnbatch

2023-08-24 17:27:45 +08:00

@laydown 我都已经重复说了很多次了，多个设备的缺点，无异于砖头，砖头，砖头

所以我才想买专门的硬件（标题就说了），所以问题就是，哪里买

不需要插设备，有电就行（比如内置纽扣电池），坏掉也没关系，硬件密码器体积远比手机小可以多弄几个（这一段，我也重复说过好几次了）

我需要输入几次并不是重点，重点在于我喜欢一按即来，哪怕频率低到只有一年一次。单纯的个人喜好。

ShuWei

2023-08-24 17:28:53 +08:00

@cnbatch #82 你喜欢，一定是你对。不过，作为程序员，随便就允许手机没电，而且没有备用的手机或电脑，这也是挺迷的，所以我还是坚持我之前表达的观点，请勿再回贴讨论，没意义。

cnbatch

2023-08-24 17:30:22 +08:00

@HFX3389 应该可以多弄几个吧？
因为这些小物件在我家很有可能会不小心泡了次可乐澡😅

cnbatch

2023-08-24 17:42:15 +08:00

@ShuWei 我当然不会允许手机没电，但也很不愿意使用次数不可测的行为依附于专用的手机，因为这样会导致手机要么长时间插电，要么搞个定时插座（这更加麻烦，增加一堆砖头）。

至于依赖自己的手机，还是不爽，为了看个验证码我居然还得解锁手机点开 App 才能看得到，太麻烦了。我喜欢桌面上有个按钮一按就出来。

备用手机和电脑当然有，我只是不爽因此而造成时间拖延而已。

adoal

2023-08-24 17:43:35 +08:00

为啥国内没有？因为连在 V2 这种开发/运维人员密度很高的社区里都会有很多 V 友针对你喜欢 TOTP 硬件而不喜欢手机的执念劈头盖脸教育你矫情……可见对个人用户来说这玩意真的不符合天朝国情。

cnbatch

2023-08-24 17:44:49 +08:00

@2218675712 国内是没找到

国外有在售产品的那家，通过海淘应该能运进来，但也不那么可靠，被海关抽到那就等于打水漂了

adoal

2023-08-24 17:45:52 +08:00

所以还是学点单片机自己做吧。我记得不久之前看 V 友用 ESP32-C3 自己做了个硬件的 SSH key agent 设备。

第 5 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/967735

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.