V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Eagleyes
V2EX  ›  Apple

身份验证器哪家强?微软, Google 还是其他?

  •  
  •   Eagleyes · 2019-11-21 09:17:44 +08:00 · 15453 次点击
    这是一个创建于 673 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Google Authenticator

    MS Authenticator

    目前使用 Google 的,只是这个太久没有更新了,换了手机都要一个个重新绑定,

    似乎微软的可以自动 Sync,但是安全性如何?

    G 家和 M 家哪家强?
    86 条回复    2019-11-28 17:43:11 +08:00
    alphatoad
        1
    alphatoad   2019-11-21 09:19:41 +08:00   ❤️ 1
    1Password 好使
    Davic1
        2
    Davic1   2019-11-21 09:20:48 +08:00
    要安全还要啥同步啊, 关闭网络. 哪个都行
    ATiGr
        3
    ATiGr   2019-11-21 09:22:10 +08:00 via iPhone
    之前看到大佬们说 Google 的不方便是 feature 不是 bug.
    所以理论上微软的比谷歌的安全性差一点.
    但是有时候风险和收益需要平衡,比如你要考虑你的备用码有没有好好保存,这决定了你在手机损坏、丢失的时候会不会失去一切。
    chengxy
        4
    chengxy   2019-11-21 09:22:31 +08:00
    微软的吧,至少页面好看点。
    lydasia
        5
    lydasia   2019-11-21 09:24:43 +08:00 via Android
    还有 Authy,因为各家支持情况不一样,没有哪个验证器是每一家都支持的,还有的国内厂商用自己的验证器,所以无奈都在用。。
    imnpc
        6
    imnpc   2019-11-21 09:24:45 +08:00
    Authy 手机号绑定 可以任意设备同步
    微软的我好像就绑定了微软自家的..
    ygchy
        7
    ygchy   2019-11-21 09:25:12 +08:00 via iPhone
    最近换手机刚刚从谷歌的换成微软的,每个都重新绑定真的是太痛苦了……另外 1Password 也在用,但觉得入口太深有点儿繁琐,如果同时要存储密码那些用 1Password 也不错。
    dimlau
        8
    dimlau   2019-11-21 09:26:16 +08:00 via iPhone
    yandex ?
    korokke
        9
    korokke   2019-11-21 09:27:52 +08:00
    我用的微软
    d5
        10
    d5   2019-11-21 09:28:45 +08:00   ❤️ 1
    authy 转到了 enpass,enpass 默认单独一个分组显示 2fa 的验证码们
    Eagleyes
        11
    Eagleyes   2019-11-21 09:33:25 +08:00
    @lydasia #5 内地的除了网游其他不碰。只相信 FFANG 家的
    Eagleyes
        12
    Eagleyes   2019-11-21 09:34:04 +08:00
    @ygchy #7 是的,兄台,就是有此犹疑,也准备搬到 MS 了
    mcfog
        13
    mcfog   2019-11-21 09:45:09 +08:00 via Android
    我就是因为没有同步功能所以用谷歌的,绑定时自己把绑定用的二维码(其实就是个 uri )离线备份就行
    cwbsw
        14
    cwbsw   2019-11-21 09:53:31 +08:00
    微软的那个同步没搞清楚逻辑,重装了一次结果数据丢了。
    icyflash
        15
    icyflash   2019-11-21 09:53:55 +08:00
    之前 authy, 现在 MS。
    然后很多密码管理器也带,keepass 加插件后,多端可用
    Pastsong
        16
    Pastsong   2019-11-21 09:56:00 +08:00   ❤️ 2
    但是战网那个垃圾还是用不了第三方的验证器
    tianshilei1992
        17
    tianshilei1992   2019-11-21 09:57:22 +08:00 via iPhone
    @alphatoad 对的,还支持自动填充
    ungrown
        18
    ungrown   2019-11-21 09:59:14 +08:00
    方便和安全性真的相冲突
    熊与鱼掌不可兼得
    同步就是方便
    然后自行取舍

    OTP 验证器这块还有一个开源应用我推荐一下:FreeOTP
    当然这些实现都没有同步或者备份导出功能,还是那句话,这违反安全原则

    但是说到换机时候的解决方案
    真不是我嘴贱
    连魅族这种不受待见的破厂都能够实现换机同步所有数据包括应用数据库
    为什么你们的手机没这个功能或者有这个功能但是不会用呢
    Autonomous
        19
    Autonomous   2019-11-21 10:04:37 +08:00
    觉得还是 1P 比较好
    murmur
        20
    murmur   2019-11-21 10:06:04 +08:00
    @Pastsong 有那种 N 合一的验证器,pc 端可以用
    alphatoad
        21
    alphatoad   2019-11-21 10:06:37 +08:00 via iPhone
    @Pastsong 战网可以用奇技淫巧导出成通用的 OTP 格式
    imn1
        22
    imn1   2019-11-21 10:08:53 +08:00
    M$/Google/Authy 算法都是一样的,所以安全性也就一样,云端的安全性就不是你能控制的了
    同步是指多个手机、手机和桌面系统、换手机?
    换手机的话我建议 Authy,用手机号验证就能全部加载,当然你就要保证原来的手机号能用,换号就麻烦了
    其实最好是每次把二维码备份下来,或者 url 里面的一串字串,选输入方式而不是扫码能见到

    我是本地保存,不放在云端,所以用 keepass+totp 插件

    PS:记忆中 M$家的二维码不能右键保存,要截图,说的是 M$帐号,不是验证器
    crab
        23
    crab   2019-11-21 10:12:12 +08:00
    用的 google,扫描图片后把二维码图片保存下来。
    tunzao
        24
    tunzao   2019-11-21 10:15:51 +08:00
    Duo mobile
    imn1
        25
    imn1   2019-11-21 10:19:09 +08:00
    再 PS:
    好多语言都有 otp 算法的代码,如 python 去 pypi 能找到,只要有上述那段识别字符串就行
    所以,安全性的短板其实就是你如何保存这个字符串
    建议和帐密分开保存,两者不要关联,otp 写个注释自己能看懂是哪个帐号就行了,2FA 的要点就在于此:分开验证
    plasmetoz
        26
    plasmetoz   2019-11-21 10:19:16 +08:00
    用谷歌,换机时直接拿钛备份把 app 迁过去就行
    morethansean
        27
    morethansean   2019-11-21 10:26:40 +08:00
    Google 这个我真的无力吐槽,每次换手机就得一个一个迁,很多三方应用我都不知道在哪里重新设置……
    antileech
        28
    antileech   2019-11-21 10:28:49 +08:00 via Android
    这种敏感数据不喜欢同步,我用 Authenticator,比 G 家的好些
    https://apps.apple.com/cn/app/authenticator/id766157276
    Eagleyes
        29
    Eagleyes   2019-11-21 10:33:27 +08:00
    @ungrown #18 不是没这个功能,是 iP,出门忘带手机了,手里的其他手机没装那个 Google 验证器,瞎了
    cht1995
        30
    cht1995   2019-11-21 10:37:15 +08:00
    Authy 和 Duo Mobile 都还可以
    ungrown
        31
    ungrown   2019-11-21 10:55:46 +08:00
    @imn1 #22 跟你差不多,不过没在 keepassxc 上加 otp,只是把当初添加二次验证的密钥或者二维码存在里面留个备份而已。因为 keepassxc 本身打开要密码,闲置一小段时间还会自动上锁,我是觉得在需要用到 otp 的时候,开 keepassxc 还不如打开手机来得方便。
    Jimmy1573
        32
    Jimmy1573   2019-11-21 11:06:14 +08:00
    @morethansean #27 二维码截图保存,压缩包加密,往网盘里一丢。
    titanium98118
        33
    titanium98118   2019-11-21 11:39:53 +08:00
    keepass+totp
    style4321234
        34
    style4321234   2019-11-21 12:05:04 +08:00 via iPhone
    1password 好用,复制密码到 1password,很方便!
    hash
        35
    hash   2019-11-21 12:10:39 +08:00
    @Jimmy1573 然后登录网盘的时候发现...
    zhucegeqiu
        36
    zhucegeqiu   2019-11-21 12:25:50 +08:00
    bitwarden 自建,不能 selfhost 的都谈不上安全性
    Tink
        37
    Tink   2019-11-21 12:40:34 +08:00 via iPhone
    1password
    lake325
        38
    lake325   2019-11-21 12:42:42 +08:00
    Authy 账户同步很方便
    shellcmd
        39
    shellcmd   2019-11-21 12:42:43 +08:00 via Android
    fb 啊,我是陷入死循环了登不上,哈哈
    xujinkai
        40
    xujinkai   2019-11-21 12:52:09 +08:00
    authy 转到 enpass 密码和 TOTP 一揽子方案
    mnsw
        41
    mnsw   2019-11-21 13:14:11 +08:00
    我现在都扔到 1P 了
    lovedebug
        42
    lovedebug   2019-11-21 13:15:50 +08:00 via Android
    微软的好用
    luojianxhlxt
        43
    luojianxhlxt   2019-11-21 13:54:54 +08:00
    有的网站强制使用 Authy,所以我绝大部分都是用 Authy
    ms 的用的自家的,因为可以推送确认的通知
    huawuya
        44
    huawuya   2019-11-21 14:31:40 +08:00
    authy+1
    gamexg
        45
    gamexg   2019-11-21 14:38:18 +08:00
    敢信吗?
    微软的碰到过一个 bug,只能保存大概 5 个账号,继续增加会无提示的挤掉旧的账号。
    到论坛反馈后告知是已知 bug,从那之后就没敢继续用微软的。
    iVeego
        46
    iVeego   2019-11-21 15:55:13 +08:00 via Android
    微软的方便,Google 的好看,我选择用 v 友开发的一个 chrome 插件,可以用 Google 账号同步,还可以显示初始二维码,和手机做双备份
    ryansvn
        47
    ryansvn   2019-11-21 16:05:37 +08:00
    二次验证这种东西,使用频率并不是很高,所以安全性个人认为是优先的,所以 google 的离线版感觉更加靠谱。
    youtoshell
        48
    youtoshell   2019-11-21 16:07:34 +08:00 via Android
    authy 收不到验证码
    R18
        49
    R18   2019-11-21 16:11:49 +08:00
    @youtoshell 一样的,国内手机号收不到,我已经有快半个月没登交易所了。
    Eagleyes
        50
    Eagleyes   2019-11-21 16:14:52 +08:00
    @ryansvn #47 请问 google 的能否在 2 个手机上同时登录?主手机没带一天都心慌慌
    Silently
        51
    Silently   2019-11-21 17:10:40 +08:00 via iPhone
    @gamexg 你说的这个是不是类似日亚和美亚?这两个我只要添加第二个就会顶掉第一个
    Vincent103
        52
    Vincent103   2019-11-21 17:31:34 +08:00
    难道就我自己用微信小程序吗?感觉还是这个方便呀,毕竟平时微信用得多一些
    vinsec
        53
    vinsec   2019-11-21 17:51:55 +08:00 via iPhone   ❤️ 1
    Lastpass 可以同步
    Nielsen
        54
    Nielsen   2019-11-21 17:59:35 +08:00
    1Password 有个悖论啊……双重验证就是为了安全,然而又跟用户名密码放在一起……总感觉不踏实。
    Love4Taylor
        55
    Love4Taylor   2019-11-21 18:05:35 +08:00
    以前用的 Google 的, 后来就微软真香了.
    dai640
        56
    dai640   2019-11-21 20:16:16 +08:00 via iPhone   ❤️ 1
    从多个方面来说吧:

    1,是否开源,安全这个始终是最重要的,

    2,是否支持备份,吃过亏的就知道有多重要了,我几年前用 google 的就发生过。

    3,是否支持 touch/face ID 解锁,再次一点 PIN 码,因为万一你手机不在手上,这么多 2FA 也够喝一壶。

    4,其它附加个性功能,如自动识别获取 logo icon,当满屏的数字验证码,有了对应的 icon 会让你更快识别选取。


    5,有些 2FA 只支持 6 位数字验证码,有些是 8 位的,虽然很少,能支持才完整。

    综上所述,基本上可以淘汰以上所有的推荐。

    接下来推荐一个完全符合以上所有条件的 app,因为上架时间不长,可能大家不清楚。

    它就是 Raivo OTP,还有个需要说明的是,这些都是只针对 iOS,因为我主力机是 iOS,Android 也有几款很优秀的,其中有个还支持加密后再同步备份的。
    dai640
        57
    dai640   2019-11-21 20:20:43 +08:00 via iPhone
    至于上面有推荐跟密码管理绑定一起用的,个人始终感觉不太安全,不是说那个软件不安全,而是怕万一密码丢了,或者数据库丢了,就会形成死循环,这样就得不偿失了。
    linil
        58
    linil   2019-11-21 20:39:31 +08:00 via Android
    @luojianxhlxt #43 有这样的网站?
    我一直以为 Authy 和 Google 家的是通用的。
    Eagleyes
        59
    Eagleyes   2019-11-21 20:45:24 +08:00
    @Love4Taylor #55 香在何处啊?
    mogging
        60
    mogging   2019-11-21 21:10:14 +08:00
    AUTHY
    ZZSZZSZZS
        61
    ZZSZZSZZS   2019-11-21 23:37:19 +08:00 via iPhone
    用微软的,然后 totp 的二维码扫出来的文本仍在 lastpass 上了,安全和便捷还是有矛盾的,大厂的安全我觉得还是信得过
    20150517
        62
    20150517   2019-11-22 00:31:11 +08:00
    @mcfog 这二维码要过期的大哥
    explore365
        63
    explore365   2019-11-22 03:35:08 +08:00
    微信搜“两步验证密码器”小程序
    irainsoft
        64
    irainsoft   2019-11-22 05:44:14 +08:00
    如果不需要同步功能,推荐 Winauth,也是多种验证器合一的
    enjoy1224
        65
    enjoy1224   2019-11-22 07:22:43 +08:00
    时至今日还有人敢用谷歌的东西…
    whwq2012
        66
    whwq2012   2019-11-22 08:14:42 +08:00 via Android
    @ungrown 你啊,真是 navie,看我以前发的帖子,专门吐槽过谷歌的安装器在无 root 是无法直接迁移数据库的,必须得用 adb 自行导出
    ungrown
        67
    ungrown   2019-11-22 08:47:11 +08:00
    @whwq2012 #66 你啊,不光自己 naive 还觉得别人 naive,我在换 freeotp 之前一直用的 google authenticator,迁移过两台手机,非迁移备份的次数更是数不清,我甚至都从备份的压缩包里把那些二次验证的密钥从 sqlite 里面拷贝到 keepassxc 里面了。

    老弟,你用的啥品牌的手机啊,或者你用的啥 rom 啊,咋这么 low 呢,连魅族 flyme 都不如?

    想不通?想不通说明你心眼实。系统自带的备份功能,你觉得它会自个儿缺 root 权限吗?
    ungrown
        68
    ungrown   2019-11-22 08:51:10 +08:00
    @enjoy1224 #65 你这个“敢”字当作何理解
    Eagleyes
        69
    Eagleyes   2019-11-22 09:14:32 +08:00
    @enjoy1224 #65 很好奇,Why not ?
    chengkai1853
        70
    chengkai1853   2019-11-22 09:18:29 +08:00
    有兴趣可以试试,推荐下我的 FantasyPass (奇密),都保存在 Keepass 数据库中, 单独条目有一次性密码显示,然后有类似 Google 单独验证器的单独界面。密钥随着数据库同步很方便,还是蛮好用的。
    SenLief
        71
    SenLief   2019-11-22 09:22:13 +08:00 via Android
    个人用 ms,不过和 bitwarden 混用
    ryansvn
        72
    ryansvn   2019-11-22 10:32:52 +08:00
    @Eagleyes 是个离线版的验证器应用,可以随便装,你到 play 或者是 app store 搜索 Google Authenticator,即可下载使用。
    因为没有登陆的概念,所以你可以在任何一个移动设备上使用。
    ariza
        73
    ariza   2019-11-22 10:53:32 +08:00 via iPhone
    2stp
    Chieh
        74
    Chieh   2019-11-22 10:55:37 +08:00
    WinAuth PC 的
    sunmker
        75
    sunmker   2019-11-22 10:59:24 +08:00
    Authy
    xingheng
        76
    xingheng   2019-11-22 11:05:51 +08:00
    1Password 有身份验证器?是我 out 了还是👆的误解了?
    ungrown
        77
    ungrown   2019-11-22 11:07:44 +08:00
    @explore365 #63 不推荐,你得把自己的私钥给那平台,各种利害自行取舍
    amorphobia
        78
    amorphobia   2019-11-22 15:00:02 +08:00
    @xingheng 应该是你 out 了
    cheese
        79
    cheese   2019-11-22 15:31:50 +08:00
    @xingheng #76 是有的,在自定义字段-一次性密码,然后填上 OTP 链接就行了
    xingheng
        80
    xingheng   2019-11-22 18:04:06 +08:00
    @cheese 学到了,谢谢
    kawaii303
        81
    kawaii303   2019-11-23 05:49:09 +08:00 via Android
    没人用 lastpass 家的 authentication 吗?可以同步,比谷歌家好
    julyclyde
        82
    julyclyde   2019-11-23 10:43:31 +08:00
    算法是 rfc 规定的
    用什么软件都一样
    关键是看 otp 以外的功能

    需要同步的话,我觉得 authy 还不错
    julyclyde
        83
    julyclyde   2019-11-23 10:45:16 +08:00
    @20150517 二维码不会过期的。只是“这一次密钥”和你的账户关联,这个动作,在网站方面看,是有有效期的
    zj
        84
    zj   2019-11-28 13:48:53 +08:00
    @chengkai1853 大佬,今年 FantasyPass 黑五打折凑热闹吗?
    chengkai1853
        85
    chengkai1853   2019-11-28 17:39:06 +08:00
    @zj 会,明天吧. 一会发个帖子
    zj
        86
    zj   2019-11-28 17:43:11 +08:00 via iPhone
    @chengkai1853 摩拳擦掌准备下手了。
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3702 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:39 · PVG 16:39 · LAX 01:39 · JFK 04:39
    ♥ Do have faith in what you're doing.