本文提到的 谷歌身份驗(yàn)證器的英文名稱是 Google Authenticator , 其他中文名稱 有 Google身份驗(yàn)證器 , Google驗(yàn)證器 . 本文統(tǒng)一使用谷歌身份驗(yàn)證器這個(gè)稱呼.

對(duì)于谷歌身份驗(yàn)證器密文的備份, 大概可以分為兩類人

一類是 從來不備份的灑脫型.

一類是苦哈哈手工復(fù)制的勞模型.

谷歌身份驗(yàn)證碼不就是掃描一下二維碼嗎,難道還要備份?

90% 的人從來不備份他們的谷歌二次驗(yàn)證碼的 Key, 這其中不乏有些朋友根本不知道這東西的存在. 更談不上需要備份.

我備份了, 每個(gè)網(wǎng)站都復(fù)制16位的Key進(jìn)行備份.

這些朋友,認(rèn)知是非常領(lǐng)先的, 意識(shí)到備份谷歌二次驗(yàn)證碼的重要性.

然而每次都苦哈哈的從網(wǎng)站復(fù)制16位Key,然后保存到密碼管理器的你, 不覺得這操作太苦,太累了嗎?

可能你會(huì)問，你有更簡單的方法？

必須有，沒有干貨，我都對(duì)不起你的點(diǎn)擊．

谷歌身份驗(yàn)證器客戶端的問題

谷歌身份驗(yàn)證器的客戶端有兩個(gè)重要問題沒有解決

密文沒有備份.

App 沒有本地密碼保護(hù)

密文沒有備份

Google 身份驗(yàn)證器掃描二維碼之后, 就不再提供任何方法來恢復(fù)16位的密文. 如果你沒有提前備份, 那么你的手機(jī)將成為你唯一打開你賬戶單點(diǎn). 如果哪一天手機(jī)丟了, 所有設(shè)置過二次驗(yàn)證的網(wǎng)站你都無法登錄, 最終你不得不一個(gè)一個(gè)地聯(lián)系客服來從之你的. 那將會(huì)使你崩潰 .

因此你不得不手動(dòng)備份,難道不是嗎?

App 沒有本地密碼保護(hù)

如此重要的應(yīng)用程序, 本身卻沒有任何保護(hù), 任何拿到你手機(jī)的人,只要解鎖手機(jī),都可以直接看到你的二次驗(yàn)證碼. 這將是多么大的風(fēng)險(xiǎn).

有人想要盜取你的二次驗(yàn)證碼, 只要偷偷看一下你的解鎖密碼即可. 如果你是指紋解鎖的, 可以忽略這個(gè)問題.

你的手機(jī)解鎖之后,放在桌上,可能被有心人惡意使用.

小孩子玩你的手機(jī),無意中刪除了你幾個(gè)網(wǎng)站的驗(yàn)證碼.

這些事情,都會(huì)將你暴露在高風(fēng)險(xiǎn)之下.

怎么破?

方法很簡單, 使用其他產(chǎn)品替代谷歌身份驗(yàn)證器. 在這里我推薦兩款軟件 一款是 Lastpass Authenticator, 另一款是 Authy 這兩款中我更推薦 Lastpass Authenticator. 這也是本文介紹的重點(diǎn).

注意: 谷歌身份驗(yàn)證器其算法是公開的, 私密的是密文,因此這幾款軟件的核心功能是一模一樣的, 具體原理可以參考

https://www.zhihu.com/question/20462696

首先看一下 Lastpass Authenticator 的界面, 和 Google Authenticator 長的可以說是一模一樣.

而讓他和 Google Authenticator 不一樣的,就在于 Lastpass Authenticator 具有備份功能和軟件密碼鎖功能.

啟用備份和密碼保護(hù)功能

備份功能的啟用非常簡單, 只需要在軟件設(shè)置界面中 啟用 backup 功能即可.

啟用密碼保護(hù), 設(shè)置 Use Touch ID 和 Use PIN Code 即可 .

為了啟用備份, 你需要先注冊(cè)一個(gè) Lastpass 賬號(hào), 并且啟用雙因素認(rèn)證. 這里可以使用 Lastpass Authenticator 自身作為 Lastpass 的雙因素認(rèn)證軟件.

死循環(huán)問題

聰明的你可能已經(jīng)發(fā)現(xiàn), 把 Lastpass Authenticator 的備份放在 Lastpass 上, 然后 Lastpass 登錄又依賴 Lastpass Authenticator , 這不是死循環(huán)了嗎?

其實(shí)這個(gè)問題, Lastpass 已經(jīng)幫你解決. 當(dāng)你在一個(gè)新設(shè)備上登錄 Lastpass 時(shí),且沒有 Lastpass Authenticator 可供使用時(shí), 你可以通過發(fā)送短信的方式接受二次驗(yàn)證碼. 這就可以跳出這個(gè)死循環(huán).

與Lastpass 的集成

這是非常棒的一個(gè)功能, 當(dāng)你在新設(shè)備上登錄lastpass 時(shí), 你的手機(jī)會(huì)受到一條提醒, 你只需要點(diǎn)擊是或否就行, 無需輸入6位數(shù)字. 你的lastpass賬號(hào)在得到保護(hù)的同時(shí), 又不會(huì)那么痛苦.

再也不用擔(dān)心換手機(jī)

當(dāng)你換手機(jī)時(shí),在新手機(jī)上登錄Lastpass, 由于你有二次驗(yàn)證, 需要在原手機(jī)上點(diǎn)擊一下確認(rèn). 然后到新手機(jī)上登錄 Lastpass Authenticator 數(shù)據(jù)就自動(dòng)同步過來了.

如果你手機(jī)丟了, 請(qǐng)第一時(shí)間通過遠(yuǎn)程抹掉手機(jī)的方式將丟失的手機(jī)數(shù)據(jù)清除, 同時(shí)去補(bǔ)辦手機(jī)號(hào). 在新手機(jī)上通過發(fā)送驗(yàn)證碼的方式登錄 Lastpass.

為什么不推薦Authy

Authy 具有和 Lastpass Authenticator 相同的功能. 不選他的原因是 Authy的體驗(yàn)和 Google Authenticator 相差太大. 看下圖, Authy一次只能顯示一個(gè)網(wǎng)站的二次驗(yàn)證碼, 你要切換賬號(hào)時(shí), 是非常痛苦的.

安裝

最后講一下安裝, 蘋果手機(jī)直接在 Apple Store 中搜索 Lastpass Authenticator安裝就行．

安卓就要痛苦一些

很多應(yīng)用商店沒有 Lastpass Authenticator, 你需要 Google Play 中搜索安裝.

Lastpass Authenticator 的運(yùn)行依賴 Google Play Core服務(wù), 很多國產(chǎn)手機(jī)去掉了這個(gè)服務(wù). 需要安裝一下.

寫在最后

經(jīng)過以上設(shè)置, 密碼中最薄弱的一個(gè)環(huán)節(jié)成了手機(jī)號(hào), 因?yàn)榭梢酝ㄟ^手機(jī)號(hào)接收驗(yàn)證碼而獲取到所有的密碼和二次驗(yàn)證碼. 因此我建議你使用一個(gè)全新的手機(jī)號(hào), 作為你密碼體系的最后保障. 實(shí)際上,我就是這么做的.

我們整天嚷嚷著去中心化 , 但是你看, 最核心的密碼,你卻是交給一個(gè)中心化的組織去保管的, 是不是很奇特?