最近收到 github 发来的邮件,要求账户进行两步验证,如果不进行两步验证,那么 45 天之后好像访问受限制了。
我登陆看了一下,可以使用 SMS authentication ,但是进去看了一下,里面没有中国大陆的手机可以选择,压根里面就没有 China 的选项,所以用不了。
另外一种选项是:Setup authenticator app ,提示的方法是:Use an authenticator app or browser extension to scan 。 但是我用手机的 Firefox 浏览器的扫码功能试验了一下,无法扫码这个二维码。
请问大家是如何进行两步验证的?
谢谢!
101
jqtmviyu 2023-08-23 18:08:19 +08:00
Keepass, 支持 web, ios, macos, windows, android.
|
102
SekiBetu 2023-08-23 18:42:32 +08:00
我把那个设置用的代码存到 bitwarden 了,变相云同步了一个 2FA
|
103
anpho 2023-08-23 18:46:01 +08:00
yubikey !
|
104
skiy 2023-08-23 19:02:18 +08:00
用 authy 。
另外,可以用纸张把 totp 那串 secret 记下来,也就没多大影响了,APP 没了也无所谓了。 |
107
paynezhuang 2023-08-23 20:31:49 +08:00
@stevenshum #38 没有啊,在商店里,有更新随时更新啊。
|
108
zsdroid 2023-08-23 20:33:54 +08:00
用 google authenticator 注意备份,一旦你卸载了,就完了
|
110
epis2048 2023-08-23 21:29:44 +08:00
@Yadomin #91 谢谢提醒 我还开了微软的 auth 并备份了恢复码,不过平常感觉用这个方便。点一下 输个 pin 码就 ok 了
|
111
hellsakura 2023-08-23 23:00:03 +08:00
@zjuster #87 google 的也已经支持云备份了,不过我个人习惯导入之后手动导出一份到本地保存,防止云备份出问题
|
112
sonnyclarity492 2023-08-23 23:04:58 +08:00
|
113
yeqizhang 2023-08-23 23:14:57 +08:00 via Android
我用 freeOTP 的,不能导出,哭晕在厕所
|
114
SimonOne 2023-08-23 23:18:08 +08:00
二维码本身是个 uri ,你把那个二维码或者 uri 保存下来,可以在无数个设备无数个 totp 软件里加入。
其实就是服务器上和你自己两头都有,根据时间戳定时变化的动态码,你登录输入的和服务器上的对上了不就验证通过了。 所以那个二维码第一次扫描服务端会让你输入一次动态码,如果能对上,说明你操作 ok 了,它就绑定上了。(所以你第一条呀更没用,是个废弃的) |
115
Laysan 2023-08-23 23:35:14 +08:00
1Password
|
116
westerndream 2023-08-24 01:34:49 +08:00
+86 手机搜下,有方法打开隐藏菜单的
嫌麻烦有浏览器插件的,web2FA ,虽然这样安全性应该比较低 |
117
xinge666 2023-08-24 01:39:52 +08:00
Yubikey + GitHub Mobile
|
118
lee88688 2023-08-24 09:17:06 +08:00 via Android
microsoft authenticator 好处是不需要翻墙就可以直接连接,网络连接上更保险
|
119
gdb OP @westerndream 我在 github 的页面上面,打开了隐藏的菜单,使用的是之前 csdn 的方法,也就是在 console (我是 firefox ,按 F12 后,会打开一个网页调试工具页面)里面运行一个脚本:var option = new Option("China +86","+86");
option.selected = true; document.getElementById('countrycode').options.add(option, 0); 但是我发现,我根本收不到短信,github 上面会有一个英文提示: We tried delivering an SMS to that number, but the number doesn't seem to be valid. 我在我的手机号码前加了 0 ,或者没有加 0 ,都是同样的错误,所以 SMS 的验证方式似乎是不能用的。 |
120
gdb OP @lee88688 google 的 authenticator 需要翻墙么?我感觉也不需要啊。这种是不是都是离线模式的啊?
|
121
key0323 2023-08-24 09:30:43 +08:00
@wildman9527 有什么问题吗?博客也有鄙视链不成
|
122
gdb OP @skiy 你好,请问你说的 totp 的那串 secret 字符串是哪里可以获取到?我不是很看得懂。是不是在 github 上面显示二维码的时候,就能看到这串 secret 的字符串?不过我已经设置了用 google 的 authentication 的 app 了,还能改么?或者说用很多个 app 都支持这个功能?
|
123
skiy 2023-08-24 10:51:02 +08:00
@gdb 你保存它给出来的二维码图片就好了。那字符串不过也就是二维码提取出来的,现在随便一台手机都能读取二维码信息了。再不挤就用个微信扫一下,然后复制下扫出来的链接或者分享给文件助手。
|
124
lmone111 2023-08-24 11:32:42 +08:00
|
125
gdb OP |
126
gdb OP @lmone111 谢谢,不过我有个问题,就是这个密钥直接往网上的网址里面写,会不会带来一些安全性方面的问题,能不能比如在本地运行一个 html 的网页,直接让本地的浏览器打开这个网页,然后都在本地操作?
|
127
gdb OP 同学们,我看到 github 里面的 topic ,如下链接:
totp · GitHub Topics — https://github.com/topics/totp 我看了一下,有好多语言开发的,我随便看了几个 python 的,看起来都差不多,就是输入一个 secret 字符串,根据当前的时间,能生成一个密码。 言下之意,我是否不借助任何 app ,直接在 python 或者别的地方也能用? 现在关键的问题是,我昨天用 google authenticator 的时候,那个二维码的图片没有保存,我是不是要重新推倒重来(重新设置过,然后在设置的时候,把二维码保存一下?) |
128
skiy 2023-08-24 12:11:54 +08:00
@gdb 如果你之前有记录下那串字符,或者有下载保存那个二维码,你可以用别的软件添加一下,不会对你在 Google 的有任何影响。但你使用重置方式再添加,那就会有影响(也就是说,原来的失效了,必须重新添加)。
|
129
SimonOne 2023-08-24 12:51:39 +08:00
@gdb #127 是可以,但是你猜为什么那个图片只给你看一次呢,如果你把图片泄漏了,那么又会发生什么呢。
安全和便利是难两全的,你如果不想每次都打开 app 的话所以打算自己明文存下来本地计算的话,这套就变成走形式了,不安全了。 你再想想,手机上有 app 可以算,难道电脑上就没了吗,你下个电脑上用的可以带浏览器自动填充的不就行了,比如前面提到的一些密码管理软件 bitwarden,1password 。 然后怕丢失的话,uri 就加密一下存到安全的地方。 |
130
yexingshusheng 2023-08-24 16:21:38 +08:00
Authy
|
131
lee88688 2023-08-25 09:12:12 +08:00 via Android
我尝试了一下 KeePassDX ,也是没问题的,我已经切换过来了。
|
132
wenjy 2023-10-13 09:45:54 +08:00
这个可以
|
133
daisyfloor 301 天前
@nothingistrue 2FAs 这开源 app 算纯本地的 TOTP 软件么?
|