这是一个创建于 530 天前的主题,其中的信息可能已经有所发展或是发生改变。
站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用 Authy 。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用 Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy 出个这么个事故。
原因是有一个没有鉴权的 API 接口,攻击者通过这个接口批量验证手机号是否用于注册 Authy 。攻击者最终收集了 33M 个注册了 Authy 的手机号。
Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio 的基础设施和敏感数据没有受到威胁。
 | 1 linil 2024-07-05 05:01:44 +08:00 via Android 之前 Authy 取消 Desktop 版本後得什了,目前到了 2FAS 。 2FA 不和密管理的放一起的,漏是那可怕。 |
 | 2 lzhd24 2024-07-05 06:52:13 +08:00 via Android 不过话又说回来,手机号就和微信号似的,一种联系方式而已,即便是泄露了,攻击者能拿来干啥呢?批量发短信钓鱼?好像影响也不大吧 |
 | 3 cctv6 2024-07-05 07:04:49 +08:00 via Android |
| 4 cctv6 2024-07-05 07:06:53 +08:00 via Android 继续上一条回复。就可能可以得到一个对应关系,就能通过账号 id 查询到这个 id 对应的账号和邮箱。在现在这种环境下,就相当于实名。 |
 | 5 zx900930 2024-07-05 07:38:45 +08:00  1 Aegis 长舒一口气,只有本地的不经过服务器的才是安全的 |
 | 6 9RWBdC758updU311 2024-07-05 07:54:24 +08:00 via iPhone 9 一个 2fa 软件需要手机作为账号本身就很离谱,竟然还会有人用 |
 | 7 Dragonphy 2024-07-05 08:10:48 +08:00 via Android 欢迎使用 ente auth 喵 |
 | 8 linhongjun 2024-07-05 08:12:45 +08:00 还好我用 WINAUTH 本地存储 随身携带 |
 | 9 yumizhao888 2024-07-05 08:13:39 +08:00 via iPhone 别能绕过手机号直接读验证码就行,要不就是大灾难。 |
 | 10 Rehtt 2024-07-05 08:27:15 +08:00 via Android 我是自建 bitwarden |
 | 11 RobinHuuu 2024-07-05 08:32:06 +08:00 via iPhone 问题不大 |
 | 13 kmephisto 2024-07-05 08:43:40 +08:00 所以还是 keepass 加坚果云。稳稳的。 |
 | 14 Dragonish3600 2024-07-05 08:47:20 +08:00 手机号泄露影响不大,国内都泄露到天上去了。。。 |
 | 15 jackmod 2024-07-05 08:51:30 +08:00 迁移到内网上的自建 bitwarden 已经一年了。 不过 account_status 这种字段,估计这公司也不那么体面。 |
 | 16 uuhhme 2024-07-05 08:52:37 +08:00 via Android 还是有危险的。手机号做用户名和 2fa 的邮箱一起泄露,精准定位了属于是。还是喜欢 ente auth |
 | 17 poorcai 2024-07-05 08:56:21 +08:00 via Android 有没有可以在换手机后自动同步的 2fa 软件?我目前用的是微软的,换手机后里面的东西就没了。。。 |
 | 18 NICEghost 2024-07-05 08:56:57 +08:00 authy 可以自建的吧... |
 | 20 Huelse 2024-07-05 09:02:44 +08:00 之前用 Authy 就总感觉不对劲,后换到微软的也差点意思,最后全转到自建 bitwarden 上了 |
 | 21 shijingshijing 2024-07-05 09:09:12 +08:00 1 @lzhd24 很多用户的多个系统帐号都是关联的同一个手机号码,如果手机号泄漏最直接的是社工库里该手机号对应的用户画像多了一个特征;如果不幸同时泄漏了该用户的密码(没有做哈希,没有加盐),则有可能被彩虹表获取其他网站的用户信息。 |
 | 22 t41372 2024-07-05 09:20:07 +08:00 via Android 存 totp 的东西就不该联网 |
 | 23 Davic1 2024-07-05 09:22:17 +08:00 2fas ,一个优点是浏览器扩展,自动填充验证码 |
 | 25 Achophiark 2024-07-05 09:28:27 +08:00 这种中心化的数据存储,迟早要出问题。keepass 解君愁 |
| 26 Achophiark 2024-07-05 09:31:54 +08:00 @kmephisto keepass 虽然数据是加密的,但还是 keepass 加本地,稳一些吧 |
 | 27 dog 2024-07-05 09:34:24 +08:00 via iPhone 2fa 这东西就不应该依赖云同步,特别是 Authy 还依赖于手机号,首先就该排除。最好选择可以完全离线的应用,每次录入时顺手额外备份一下 secrets 。 |
 | 29 mscsky 2024-07-05 10:22:53 +08:00 这种东西联网就是不科学的 |
 | 30 tyzrj766 2024-07-05 10:28:01 +08:00 恰好前几个月换到 2FAS 了 |
 | 31 JimmyLX 2024-07-05 10:43:29 +08:00 Authy 国内手机号是不是收不到验证码啊?没法注册啊 |
 | 33 username321 2024-07-05 11:51:42 +08:00 现在的谷歌 auth 也可以用谷歌帐号同步 虽然可以减少换设备之后本地 2fa 丢失的危害 不过我觉得还是有风显得 |
| 34 username321 2024-07-05 11:51:51 +08:00 风险的 |
 | 35 Chiqing 2024-07-05 11:58:39 +08:00 怎么迁移比较方便 |
 | 36 adeweb 2024-07-05 13:45:36 +08:00 像 1Password 这种存数据在服务器上的密码管理器,也是有同样的风险。之前 LastPass 不是就被拖库过。 我现在把重要应用的 2FA 存在 iCloud 的密码管理里面,苹果的安全性保障终归是高一些的。 |
| 38 uuhhme 2024-07-05 17:10:54 +08:00 via Android @poorcai 也有一段时间了,google 方便的话还是推荐谷歌。这个 ente 就是多平台同步方便,可以导出二维码,app 图标也比较全。缺点只发现一个:不是大厂出品。 |
 | 39 YlxhjP0CEnQO54M5 2024-07-05 22:20:19 +08:00 @lzhd24 诈骗犯欢迎你 |
 | 40 KKFantasy 2024-07-06 18:19:49 +08:00 蛮早之前就想换来着,借这个契机换掉吧 |
 | 44 sfdev 2024-07-08 07:19:42 +08:00 之前本来想用,但是注册居然要手机号,果断放弃使用。 |
 | 45 hez2010 2024-07-08 11:01:50 +08:00 via Android 1 我选择用卡巴斯基的密码管理器 Kaspersky Password Manager 。既然黑客大本营在俄罗斯,那想必俄罗斯起家的老牌安全软件公司应对各种安全威胁应该很熟练。 |
Select Language