1
Hardrain 2021-06-25 22:46:56 +08:00
1. truncate 创建一个空白文件
2. cryptsetup 在上面建立 LUKS 卷 3. LUKS 卷中建立 ext4 文件系统(其他文件系统也行,但最好是日志式的 POSIX 文件系统) 4. recovery code 存进去 Windows 的上 VHD+Bitlocker 应该能作为等效的方案. |
2
Wolfsin 2021-06-25 23:06:21 +08:00 via iPhone
不记 recovery key,除了 Authenticator 外绑定其他方式备用。
|
3
v2tudnew 2021-06-25 23:20:39 +08:00
为何要随身携带?这 2FA 本来就是用 APP 存放的,只是 key 你再用两个 U 盘冷备份一遍就可以了,怎么加密随你。
如果担心一个 APP 突然失效的话,你可以两个 APP 一起用,反正只是一串字符而已。 |
4
v2tudnew 2021-06-25 23:23:37 +08:00
你说的是恢复密钥,但是本身扫描的二维码也是一串字符,同样也可以保存。
|
5
ZeroYe 2021-06-25 23:26:47 +08:00
不保存 recovery key,用 Authenticator 导出 2FA 数据库定期备份
|
6
Spoience 2021-06-26 00:21:39 +08:00 via Android
打印成二维码。。妥善保存。
|
7
lovestudykid 2021-06-26 00:37:51 +08:00
authy 可以同步
|
8
pinepara 2021-06-26 00:50:13 +08:00
打印出来跟其他重要文件一起存放。
Recovery key 主要使用场景就是在(所有)常用电子设备损坏或者丢失的时候,让你可以在新设备上登录账号用的。所有 digital 存放方式都不合适。 |
9
mschultz 2021-06-26 01:13:27 +08:00
我也时常思考这个问题,然后 Google Advanced Protection Program 给了我一个提醒就是,也许我们觉得对 2FA 的保存方案无所适从,一定程度上是因为 TOTP 形式的 2FA 密钥和账号密码的形式太类似了——它们本质上都是一串不想被别人看到的字符串。
以前,大家使用简单密码,密码记在脑子里,2FA 存在手机里(如 Google Authenticator ),如果简单密码通过网络远程泄露了或被猜中了,还有 2FA 保护; 现在,大家用密码管理器了,密码也存在手机里,同时 2FA 还在手机里,密码和 2FA 在同样的地方,我们自然就觉得怪怪的了。 现在,密码在密码管理器里(手机或电脑里),人们想,2FA 应该放在一个威胁模型、可能的泄露方式都与密码管理器 [大大不同] 的介质中,才显得 2FA 真的有用。实际上这种介质不是很好找…… Google Advanced Protection 给出的方案是强制 2FA 只能用硬件。我想 Touch ID 、Face ID 之类的也是可能的解决方案。2 FA 硬件的备份当然很传统,要求没那么高的就买 2 个,一个放家里,一个平时带着用。要求高的自行发挥想象力,什么银行保险柜之类的都可以整。 |
10
crab 2021-06-26 01:46:02 +08:00
直接把当时二维码图片保存,没了再扫一次就可以了。
|
11
dingwen07 2021-06-26 04:55:27 +08:00 via iPhone
用 PGP 或者 EFS 加密一遍到处放
PGP 、EFS 证书私钥放在 YubiKey 里 |
12
n1dragon 2021-06-26 06:23:00 +08:00 via iPhone
Authy 自动同步,一直很稳定,而且多端使用
|
13
cnnblike 2021-06-26 06:35:33 +08:00 2
打印出来放在家中,和自己随身的电子设备形成两种不同形式的备份,除非是 EMP+导弹,不然基本上都没问题的
|
14
Maskeney 2021-06-26 07:27:47 +08:00
所以不要用 google 这个残废品,微软的 authenticator 已经可以充当一个完整的密码管理器了,自带同步功能永远不怕丢
|
15
hafuhafu 2021-06-26 08:19:52 +08:00
我用 Microsoft Authenticator 管理二步验证,恢复码全丢放在坚果云里面的 KeePass,然后不定时再备份一次,这个 KeePass 数据库也只用来存类似这些的数据。平时用的密码管理器是别的。
|
16
Tezos 2021-06-26 09:11:44 +08:00
Google Authenticator 好像只能转移到别的设备 不能导出 key 吧
|
17
wdssmq 2021-06-26 09:43:57 +08:00
@Hardrain #1 我之前使用 cryptomator 加密,然后用 Resilio Sync 在自己的设备间同步备份,然后觉得加密太麻烦就直接明文了 - -
|
18
miaoever 2021-06-26 14:22:15 +08:00
两个物理 Yubikey, 异地备份
|
19
Lemeng 2021-06-26 17:19:42 +08:00
同步的 authy 就好
|
20
charlie21 2021-06-26 17:24:45 +08:00
如果直接用你的常用手机号收短信做两步验证,那么你是不需要 recovery key 的
|
21
zhaidoudou123 2021-06-26 17:38:37 +08:00
密码 2fa 都丢 1password 了 恢复码直接丢 OneDrive 上了(
|
23
cielpy OP @zhaidoudou123 之前我也这样搞的,但是觉得不太合理
|
24
cielpy OP @pinepara 目前我还没有考虑到这种极端情况,主要还是防 2FA app 失效,打印出来的重要文件,要放好像只能放保险柜了吧?
|
25
7gugu 2021-06-26 19:18:53 +08:00 via iPhone
把 recovery key 存到私有云上🤷♂️
|
26
cielpy OP |
27
liaixiao 2021-06-26 22:37:44 +08:00
吓得我连夜把我的 2FA 相关信息迁移到自建的 Bitwarden 服务里了
|