站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用 Authy 。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用 Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy 出个这么个事故。
原因是有一个没有鉴权的 API 接口,攻击者通过这个接口批量验证手机号是否用于注册 Authy 。攻击者最终收集了 33M 个注册了 Authy 的手机号。
Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio 的基础设施和敏感数据没有受到威胁。
1
linil 174 天前 via Android
之前 Authy 取消 Desktop 版本後覺得沒什麼優勢了,目前換到了 2FAS 。
2FA 不和密碼管理的放一起的話,單邊洩漏還是沒那麼可怕。 |
2
lzhd24 174 天前 via Android
不过话又说回来,手机号就和微信号似的,一种联系方式而已,即便是泄露了,攻击者能拿来干啥呢?批量发短信钓鱼?好像影响也不大吧
|
3
cdlnls 174 天前 via Android
|
4
cdlnls 174 天前 via Android
继续上一条回复。就可能可以得到一个对应关系,就能通过账号 id 查询到这个 id 对应的账号和邮箱。在现在这种环境下,就相当于实名。
|
5
zx900930 174 天前 1
Aegis 长舒一口气,只有本地的不经过服务器的才是安全的
|
6
lhwj1988 174 天前 via iPhone 9
一个 2fa 软件需要手机作为账号本身就很离谱,竟然还会有人用
|
7
Dragonphy 174 天前 via Android
欢迎使用 ente auth 喵
|
8
linhongjun 174 天前
还好我用 WINAUTH 本地存储 随身携带
|
9
yumizhao888 174 天前 via iPhone
别能绕过手机号直接读验证码就行,要不就是大灾难。
|
10
Rehtt 174 天前 via Android
我是自建 bitwarden
|
11
RobinHuuu 174 天前 via iPhone
问题不大
|
13
kmephisto 174 天前
所以还是 keepass 加坚果云。稳稳的。
|
14
ladypxy 174 天前
手机号泄露影响不大,国内都泄露到天上去了。。。
|
15
jackmod 174 天前
迁移到内网上的自建 bitwarden 已经一年了。
不过 account_status 这种字段,估计这公司也不那么体面。 |
16
uuhhme 174 天前 via Android
还是有危险的。手机号做用户名和 2fa 的邮箱一起泄露,精准定位了属于是。还是喜欢 ente auth
|
17
poorcai 174 天前 via Android
有没有可以在换手机后自动同步的 2fa 软件?我目前用的是微软的,换手机后里面的东西就没了。。。
|
18
NICEghost 174 天前
authy 可以自建的吧...
|
20
Huelse 174 天前
之前用 Authy 就总感觉不对劲,后换到微软的也差点意思,最后全转到自建 bitwarden 上了
|
21
shijingshijing 174 天前 1
@lzhd24 很多用户的多个系统帐号都是关联的同一个手机号码,如果手机号泄漏最直接的是社工库里该手机号对应的用户画像多了一个特征;如果不幸同时泄漏了该用户的密码(没有做哈希,没有加盐),则有可能被彩虹表获取其他网站的用户信息。
|
22
t41372 174 天前 via Android
存 totp 的东西就不该联网
|
23
Davic1 174 天前
2fas ,一个优点是浏览器扩展,自动填充验证码
|
25
Achophiark 174 天前
这种中心化的数据存储,迟早要出问题。keepass 解君愁
|
26
Achophiark 174 天前
@kmephisto keepass 虽然数据是加密的,但还是 keepass 加本地,稳一些吧
|
27
hazy 174 天前 via iPhone
2fa 这东西就不应该依赖云同步,特别是 Authy 还依赖于手机号,首先就该排除。最好选择可以完全离线的应用,每次录入时顺手额外备份一下 secrets 。
|
29
mscsky 174 天前
这种东西联网就是不科学的
|
30
tyzrj766 174 天前
恰好前几个月换到 2FAS 了
|
31
JimmyLX 174 天前
Authy 国内手机号是不是收不到验证码啊?没法注册啊
|
33
username321 174 天前
现在的谷歌 auth 也可以用谷歌帐号同步 虽然可以减少换设备之后本地 2fa 丢失的危害 不过我觉得还是有风显得
|
34
username321 174 天前
风险的
|
35
Chiqing 174 天前
怎么迁移比较方便
|
36
adeweb 174 天前
像 1Password 这种存数据在服务器上的密码管理器,也是有同样的风险。之前 LastPass 不是就被拖库过。
我现在把重要应用的 2FA 存在 iCloud 的密码管理里面,苹果的安全性保障终归是高一些的。 |
38
uuhhme 174 天前 via Android
@poorcai 也有一段时间了,google 方便的话还是推荐谷歌。这个 ente 就是多平台同步方便,可以导出二维码,app 图标也比较全。缺点只发现一个:不是大厂出品。
|
39
YlxhjP0CEnQO54M5 174 天前
@lzhd24 诈骗犯欢迎你
|
40
KKFantasy 173 天前
蛮早之前就想换来着,借这个契机换掉吧
|
44
sfdev 171 天前
之前本来想用,但是注册居然要手机号,果断放弃使用。
|
45
hez2010 171 天前 via Android 1
我选择用卡巴斯基的密码管理器 Kaspersky Password Manager 。既然黑客大本营在俄罗斯,那想必俄罗斯起家的老牌安全软件公司应对各种安全威胁应该很熟练。
|