Authy 看起来是一个很好的解决方案——特别是对于外行来说,为了简化复杂性——但我对隐私和安全有一些令人烦恼的问题,尤其是当敏感数据托管在“云”上时。
令人鼓舞的是看到(一些?大多数?全部?)Authy 源托管在@GitHub,但 Authy 实际上是否已经由独立的第三方进行了 PenTest 或安全审查,并且调查结果是否已公开?
数据存储在哪里,如何在静态加密以及如何处理漏洞?如果 CVE='none',那么就会响起各种警钟。
我知道他们的博客文章已经解决了其中一些问题,但希望得到第二个意见来验证
正如您所说,您的许多问题都在 Authy 的博客上关于Authy 与 Google Authenticator的帖子中得到解答
其余的可以通过他们的联系表联系 Authy 来回答
我为我的 38 个帐户使用了 Authy(其余的不使用 Google Authenticator API),因此您可以轻松地说我信任它。这一切都使用永远不会离开您设备的密码进行加密,因此即使您使用内置的云备份,其他人也无法获得您的令牌。它还可以同步到多个设备,因此您可以同时在手机、计算机、平板电脑等上获取您的令牌(实际的 Google Authenticator 应用程序无法做到这一点)。