我正在考虑为我的注册帐户设置 2 因素身份验证。但是,在设置 2FA(例如 Reddit)时,您需要记下备份代码,以便在丢失智能手机时重新获得对帐户的访问权限。
我已经读过这篇文章了。
但是使用密码管理器的全部意义(是的,那是另一回事)是您不必写下您为所有注册帐户使用的所有密码,并且仍然可以为所有网站设置不同的密码以防万一一个网站被黑客入侵,并且似乎以明文/加密形式存储了所有密码(是的,是的,今天仍然发生)。由于写下密码、密钥和代码确实是老派。
所以我觉得为支持 2FA 的平台写下备份代码是一个真正的倒退。实际上,您必须将这些写在纸上的代码存储在保险箱中。
当我丢失手机时,有什么方法可以确保重新获得对已设置为使用 2FA 的帐户的访问权限,而不必为每个网站回退到我在纸上写下的愚蠢备份代码?
这是否也意味着如果您丢失了手机和备用密码,您将根本无法访问您的帐户?
将它们写到纸上是最简单的方法之一,保证对普通人来说不会受到恶意软件和硬件故障的影响。如果你有密码管理器,通常你也可以存储安全笔记,它可以处理备份代码。但是,如果您这样做,那么设法破坏您的密码管理器的攻击者现在拥有进入您帐户所需的一切。一些 2FA 应用程序(如 Authy)允许跨多个设备同步和备份代码,但这也意味着您已经增加了薄弱环节。
您不必为所有帐户采用单一方法,也许您认为您的社交媒体帐户不是那么重要并将备份代码存储在在线帐户中或同步 2FA 令牌,同时仍将您的电子邮件备份代码写入一张纸,因为它是您拥有的每个帐户的网关。
但是使用密码管理器的全部意义(是的,那是另一回事)是你不必写下所有的密码......
备份代码与密码不同。
每次使用帐户时都需要密码。写下密码的危险在于它们自然会在您的计算机附近甚至在您的计算机上。任何可以物理访问您的计算机的人现在都拥有您的密码。
备用代码用于紧急情况,理想情况下从不使用。它们可以安全地存放在远离您的计算机的地方。
而且,也许最重要的是,有针对性的物理攻击对大多数人来说风险非常低。如果您是一家企业,或者不信任可以物理访问您的东西的人,那么基本的保险箱可能是有保证的,并且对很多事情都有用。但对于大多数人来说,Joe Burglar 不会搜索您的备份代码,他们只会占用您的整个计算机。
为什么我需要将每个平台的备用代码保存在纸上?
你没有。你只需要他们离线的地方。
您可以将它们放在加密的 USB 拇指驱动器上。如果您觉得您能记住它们,请忽略您的用户名。将密钥存储在密码管理器中。现在攻击者必须拥有三部分:驱动器、密钥和您的用户名。将驱动器放在远离计算机的安全位置(不一定是保险箱)。它可以在同一个房间里,只是不是一个明显的位置。“ bug out”包是一个不错的选择,在发生灾难时您将能够恢复访问。
您还可以将备份代码与一次性密码一起放入密码管理器中。这确实将您所有的鸡蛋放入一个篮子,但这是使用密码管理器的权衡。
最后,您可以使用YubiKey等专用设备。
当我丢失手机时,有什么方法可以确保重新获得对已设置为使用 2FA 的帐户的访问权限,而不必回退到愚蠢的备份代码...?
取决于网站。有些会允许您通过向您发送电子邮件来恢复。
安全是关于管理权衡和风险。防止攻击为新的攻击打开了机会。只要这些新攻击更加困难,您就朝着正确的方向前进。
弱密码、重用密码和书面密码通过密码管理器中的长、唯一、随机密码来解决;密码管理器带来的风险要小得多。多重身份验证进一步保护您的帐户,即使您的密码被泄露,MFA 也会保护您并通知您有人知道您的密码,但现在风险是丢失您的 MFA 设备。这可以通过备用代码解决。备份代码可能被盗,但现在攻击必须是物理的,它们必须到达您的位置,这极大地降低了风险。
正如@Martheen 所说:
如果你有密码管理器,通常你也可以存储安全笔记,它可以处理备份代码。但是,如果您这样做,那么设法破坏您的密码管理器的攻击者现在拥有进入您帐户所需的一切。
通常,您需要每天(/小时)多次输入您的主密码。这意味着:
考虑到所有这些,避免在纸上编写 2FA 代码的一种(相对)安全的方法是为 2FA 代码建立一个单独的密码数据库。这个数据库...
就我而言,“2FA 数据库”实际上不是密码管理器,而是 VeraCrypt 容器,但这没什么区别。只需确保备份此加密数据库即可。
从弹性的角度来看,使用密码管理器生成 2FA 代码肯定比在手机上安装一个容易丢失或损坏的 2FA 生成器更好。密码管理器实际存储和同步的是二维码中存储的初始化种子,允许您安装密码管理器应用程序的任何设备生成代码。这减少了存储单独备份代码的需要。
最终,最安全的事情是不要将备份代码存储在任何地方,因为它们只是某人访问帐户的额外途径——它们存在的原因不是为了提高安全性,而是因为丢失 2FA 生成器设备的风险是对某些(大多数?)人来说太棒了。由于大多数黑客事件都涉及远程攻击者而不是物理入侵,因此即使将它们存储在办公桌上的纸上仍然比没有 2FA 的情况有很大的改进。当然,对于某些人(例如名人、企业等)来说,闯入可能是帐户接管的一个非常现实的威胁,他们确实需要将它们存储在保险箱中。
这是否也意味着如果您丢失了手机和备用密码,您将根本无法访问您的帐户?
这一切都取决于平台。他们中的一些人仍然可以重置帐户,尽管通常不仅仅是重置链接。可能是一个更实际的过程,例如致电您的 B2B 软件销售代表,与 IT 交谈(如果您用于工作),发送您的照片 ID 等。但是,许多人确实将启用 2FA 作为绝对没有登录的标志应该允许没有有效的 2FA 代码,并且在任何情况下他们都不会为您重置它。