为什么现在的双重验证器也来搞云端保存这套

萧雨若轩 · 发表于 2024-8-24 14:11

提示: 作者被禁止或删除内容自动屏蔽

overflowal · 发表于 2024-8-24 14:19

因为不方便，非常简单

—— 来自 Xiaomi 23049RAD8C, Android 14上的 S1Next-鹅版 v2.5.2-play

强尼高达 · 发表于 2024-8-24 14:53

首先，密码管理器明文保存账号密码才会因为服务器泄漏而一锅端，一般不至于
其次，想通过正常途径登录进密码管理器一锅端需要获取密码管理器的密码和二次验证码，这两个都不会存在密码管理器里

我说得很好吧，但我也不把二次验证码存在密码管理器里

password · 发表于 2024-8-24 15:02

本帖最后由 password 于 2024-8-24 15:04 编辑

我理解因为TOTP的主要目的不是为了防止服务器数据库泄露，而是为了是防止密码从本地泄露的情况，即使你中了木马，只要TOTP密钥不泄露那攻击者只拿到了普通密码和一次性密码那还不足以突破。

而如果你不把密钥存到云端，一旦你手机丢失或损坏这会成为一个超级麻烦，哪怕你另外保存了恢复密钥也很麻烦。

webto · 发表于 2024-8-24 15:41

只要是端到端加密，服务器被攻破也是加密后的数据，解密难度看实现水平，所以我只用苹果的方案。

モナド · 发表于 2024-8-24 18:57

totp是解决单一信道的信任问题的，必须使用和第一道验证不同的通信系统来获得验证码，但没有规定必须本地存储，如果只能本地单点存储，那反而容易出现单点故障

Andrue · 发表于 2024-8-25 08:23

来加入我们自托管vaultwarden

—— 来自 Xiaomi Redmi K20 Pro, Android 14上的 S1Next-鹅版 v2.5.2-play

		自动登录	找回密码
密码			立即注册

萧雨若轩萧雨若轩当前离线禁止发言精华 \| 战斗力鹅 \| 回帖 0 注册时间 2010-8-10 头像被屏蔽	发表于 2024-8-24 14:11 \| 显示全部楼层 \|阅读模式提示: 作者被禁止或删除内容自动屏蔽

	回复使用道具举报

[软件] 为什么现在的双重验证器也来搞云端保存这套