目前我发现,Google 账号,你就算知道我的密码,我不开 2FA ,你也登录不了。
他会分析你的设备和 IP 地址,然后要我在手机上点数字确认,你才能登录。
我切换了 IP 地址,也需要在手机上点数字,才能登录 Gmail 。
这点非常好。他在服务端做好了防御,我们随便用就好。
看似非常简单,甚至大门钥匙都丢给你,但你就是进不来。
这不就是,真正的科技,是让你感受不到科技的存在。
更有甚者,我自己拿着钥匙。
家里有我的身份证,各种生活照片,各种资料。
还有交叉备份可以证明这些东西就是我本人的。
他居然不让我进家门。
Dropbox 兄弟,搁以前,我给你大拇指。
现在 2024 了,揉揉眼睛行吗。
别人都取消密码了,你还让我带个纸。
1
HKzy 101 天前
一切数码相关的折腾,终点都是 apple 产品
什么?你就不是?那是因为你还没到终点...... |
2
povsister 101 天前 13
说你备份意识不够强吧,你知道用多个设备备份。
说你备份意识强吧,你全备份在移动设备上,外边还套个 AppleID 的锁。 可能做这些密码管理器的开发者,也想不到有人在 Master password 前面再挂一把锁,还把钥匙锁在 master pw 里边。 |
3
Tiande 101 天前 via Android
重要数据不备份说明学费没交够,丢几次就老实了。
1pass 打开直接用,管你什么平台什么设备👻 |
4
Biggoldfish 101 天前 via Android
把唯一的 2FA 设备在不确定能否恢复的情况下给重置了......
|
5
hefish 101 天前
这是自己操作不当,怪不得别人。
|
6
mi6 101 天前 1
也许痛过才明白 ,密码大多数的归宿都变成了防自己😂
|
7
tigerc OP Dropbox ,2024 了,还打印数据保存。
能揉揉眼睛学学 Apple 和 Google 吗? |
8
NoOneNoBody 101 天前 14
你用过这么多账户,不知道备用码是什么?
备用码几乎是最高权限的登入,登入后可修改密码和撤销 2FA ,为的就是避免用户同时丢失密码和 2FA 而打印并非“low”,这个意思是 1.备用码权限高,理应离线、脱机保存,避免被黑、被盗 2.备用码应该跟密码和 2FA 分开保存,避免三个一起丢失,三个丢失是服务方也没辙的 我觉得你好像没有备灾意识 |
9
NoOneNoBody 101 天前 1
翻了一下,google 和 apple 都有备用码,我都保存过
|
10
tigerc OP @NoOneNoBody 有,但不多。我不应该同时出掉 3 台物理备份机。
|
11
tigerc OP @NoOneNoBody #8 有备灾意识,但不多。我不应该同时出掉 3 台物理备份机。
|
12
Michae1Jacks0n 101 天前 via Android 1
折腾密码这么多年 我的经验是:只用一个可靠的文件管理 越多越麻烦
|
13
tigerc OP @NoOneNoBody #9 其实 1Password 的保险库我有备份在 iCloud 里的,手贱,删了。
|
14
zwy100e72 101 天前 2
个人认为最好避免循环依赖
* 1Password 现在支持云上管理,所以可以通过 1Password 来保存绝大多数密码 * 1Password 自身支持 2FA ,这里使用的 2FA 方式绝对不能通过 1Password 自身管理 * 这里可以考虑 yubikey 这种硬件 U2F / FIDO / TOTP 设备,并且妥善保管这些设备 * 1Password 提供的 PDF 文件,好像叫 Emergency Kit ,也要能在不依赖其他电子账户的情况下获取到 我比较赞同 #8 说的,物理备份权限高于电子备份,所以重要账户的备用码要打印多份并且妥善保管(甚至在银行组一个保险箱都不过分(大概)) |
15
smlcgx 101 天前 via iPhone
我也想过,有时候这些东西,该扔就扔,真正重要的没几个
|
16
tigerc OP 之前 Mac 也有装 1Password ,换新机了,懒,没装。
|
17
chanChristin 101 天前 via iPhone
异地灾备
我的 1p 恢复码存了好几个地方,需要上云的就加密 |
18
NoOneNoBody 101 天前 1
备灾意识有两条:
1. 天灾 2. 只要没有物权、控制权、解释权,一切东西都有易主的可能,这是人祸 绝大部分人是无视第二条的 |
19
SingeeKing 101 天前 1
那个啥 电脑呢?
|
20
tigerc OP @SingeeKing 前 Mac 也有装 1Password ,换新机了,懒,没装。
|
21
lxh1983 101 天前 via iPhone 4
全副武装闯红灯,被撞了就说头盔没用
|
22
ccaa5j 101 天前
搞得花里胡哨的没什么用,你是为了防自己吧,一个 apple id+钥匙串就行了
|
23
0o0O0o0O0o 101 天前 via iPhone
我认为依赖多黑盒多的备份简直不算备份,没有容灾的备份很脆弱,而没有演练的容灾是一厢情愿纸上谈兵。所以在我看来 OP 不算有备份,更不算有灾备了。
|
24
tigerc OP 现在老实了,什么这密码那网盘的一大堆,没必要。
有 Apple 和 Google ,外带几个移动固态硬盘,就够了。 |
25
IvanLi127 101 天前
一顿操作猛如虎
|
26
tigerc OP |
28
zhhmax 101 天前
我自建 vaultwarden ,主密码记在心里,密码库定时备份到云盘,所有开了 2FA 的账号二维码单独存在电脑,不存在找不回的情况。
|
29
leena 101 天前 via iPhone
说句难听的,你这就是闲的,三个设备多踏实啊,哪怕出掉,也不能全部都卖掉,至少留一个,狡兔三窟,你这不如兔子啊
|
32
tigerc OP 就在刚刚,我要登录 CloudCone
同样,我不记得密码,还开了 2FA 。 我点忘记密码,他给我发了个 5 分钟后失效的一次性登录链接。 我一点就登录了,密码和 2FA 都能修改。 这不挺好的吗? Dropbox 为何这么死板呢? |
33
0o0O0o0O0o 101 天前 via iPhone
@zhhmax #28 服务器机房失火了、服务商跑路了,电脑被盗了、烧毁了,云盘出 BUG 清空了、账户被封了
|
34
zhhmax 101 天前
@0o0O0o0O0o #33 好家伙,你咋不说地球毁灭了。
|
35
biidbiid 101 天前 via iPhone
问题在于你这三个都是移动设备,pc 或者 mac 没有保存吗,我安卓甚至还保存了一份
|
36
tigerc OP |
37
syyyyy 101 天前
1password 每隔 3 个月我会下载下来放移动硬盘里,而 1password 注册的时候会给一恢复码我也是打印出来放着。
|
38
weakish 101 天前
@tigerc 所以 CloudCone 是重置密码不需要 2FA 直接凭邮箱就可以?如果是这样的话,我会感觉很不安全。当然从另一个角度来说,用户不用担心丢失 2FA 设备及备用码导致无法登录账户。
|
39
neilp 101 天前
换新手机, 旧手机至少保留一个月.
|
40
oneisall8955 101 天前
all in bitwarden + 多端备份,主密码复杂一点,可以不变,或者按规则变更
|
41
totoro625 101 天前 1
@tigerc #32 对于在乎安全的人而言感觉看到了另一个极端
如果任何一个账号仅凭邮箱里的登录链接就能在新设备登录,密码和 2FA 全都是摆设 这个产品设计上就没考虑过安全 我觉得 Dropbox 设计的没错 补充: 1. 如果你在 iOS18 有备份数据,可以再次升级到 iOS18 ,从备份中获取数据 2. 1password 买断用户才能 Dropbox 使用,你选择了自己保存数据,但是没保存好数据 只在手机上保存数据,还在最重要的手机上测试新版本系统,依赖不可靠的测试版系统备份文件降级 3. 一个别有心机的坏人,获取了你的邮箱,就能登录这么多属于你的账号,实在是可怕 |
43
tigerc OP @totoro625
目前我发现,Google 账号,你就算知道我的密码,我不开 2FA ,你也登录不了。他会分析你的设备和 IP 地址,然后要我在手机上点数字确认,你才能登录。 我切换了 IP 地址,也需要在手机上点数字,才能登录 Gmail 。 这点非常好。他在服务端做好了防御,我们随便用就好。 看似非常简单,甚至大门钥匙都丢给你,但你就是进不来。 这不就是,真正的科技,是让你感受不到科技的存在。 |
45
tigerc OP @shyangs
备用邮箱是 iCloud ,可以找回 Google 。 iCloud 绑定手机号,收短信登录。 手机号绑定身份证,可以找回。 身份证丢了再去办一个。 这就完美闭环了。 什么都能找回来,并不需要诸多限制。 应该在服务端做足防御,而不是让我到处放钥匙。 被人破门而入了,而怪我丢了钥匙。 |
46
moudy 101 天前
所以我的大部分密码都是自己生成的。因为我曾经莫名其妙的钥匙串被清零过......
|
47
tigerc OP 更有甚者,我自己拿着钥匙。
家里有我的身份证,各种生活照片,各种资料。 还有交叉备份可以证明这些东西就是我本人的。 他居然不让我进家门。 Dropbox 兄弟,搁以前,我给你大拇指。现在 2024 了,揉揉眼睛行吗。 别人都取消密码了,你还让我带个纸。 |
48
shyangs 101 天前
@tigerc
你是到處放鑰匙,但沒記住主鑰匙(Master Password),這才有了這篇帖子. 記憶主鑰匙不需要用紙. 只需要大腦,比如用聖經或哈利波特的一句句子當主密碼. `I_will_place_on_his_shoulder_the_key_to_the_house_of_David.` 大小寫特殊符號, 極長, 妥妥強密碼, 還不會忘記. 覺得聖經或哈利波特太有名你可以用冷門書. |
49
tigerc OP |
50
Lotii 101 天前 via iPhone
Apple 二次验证依赖手机号有点坑,Apple ID 绑定的邮箱就是发个通知。
Google 好像不支持备用邮箱找回? 我刚刚试了下 Google 账号无密码、2FA 验证码,恢复密钥的情况下,好像无法恢复呢 |
52
Lotii 101 天前 via iPhone
@tigerc 我试了 3 个 Google 账号都不行,3 个号都开启了 2FA ,也都设置了备份码,添加辅助邮箱。恢复账号页面“试试其他方式”跳过了 2FA 和恢复码就没了呢
|
55
mazyi 101 天前 via iPhone
备份数据是有 321 原则的,你这个权当自娱自乐了
|
56
deepzz 101 天前
2FA 丢失理论上来说应该通过更多因素的验证来证明你是所有者,增加盗号的成本。但是备用码保存又是问题,很容易形成循环。这就是方便与安全性的妥协问题,很难。
楼主将数据存放与 iCloud 完全就解决问题了,最终落地到 Apple ID 上或者密码和 2FA 分开存储。 有兴趣可以试用 https://apps.apple.com/app/authone/id6467347432?at=web |
59
onice 101 天前
我用的 Sticky Password ,捷克一家公司的产品。可以自己选择本地同步还是云同步。不过我当然用云同步。
平时移动端关联指纹验证,PC 端就用 Windows 的 PIN 码。平时进入密码库不用输入主密码,所以也不存在密码被窃取的问题。感觉并不需要开启二次验证,,安全性已经足够高了。 如果哪天我无法进入密码库,一定是我的设备都坏了,然后我的主密码也想不起来了。 |
60
B1ankCat 101 天前
我的 master password 都存在自己的 qq 群里,稳的一笔,十年不丢
|
61
tigerc OP 用 1-2 个 Apple ID ,链接上 5-10 个 Google 帐号。
手机号链接上 Apple ID 。 就可以横行天下了。 工作资料,时刻都在本地向远程单向备份。 这个本地,是在移动硬盘。 等于已经备份 2 次。 偶尔整理一下到其他云盘。 手机相册,单向备份到云盘。 偶尔整理一下到 iCloud 。 什么密码,什么密码管理器,什么二次验证,什么这码那码。 就此,相忘于江湖了。 |
62
HankAviator 101 天前 1
真能折腾。别人都在过节,程序员在干嘛呢(狗头
|
63
bugmakerxs 101 天前
额只有手机能恢复数据?
|
64
minottomie4383 101 天前
两把主备 yubico 挂钥匙随身带
什么,大部分网站不支持? 好吧,这目前不实用。但是物理密钥确实可以解决 OP 的问题,都怪网站不支持[Doge] 目前至少 google 、ms 、github 等多个账号和部分 ssh 可以不用记用户名密码也不怕忘,还有就是 android 的 nfc 支持还不是很好用 |
67
CHENYIMING 101 天前
你是怎么做到每一步操作,都往后面埋雷的???
|
68
tigerc OP |
69
tigerc OP |
71
tigerc OP |
72
littiefish 101 天前 via iPhone
好混乱,看的头胀
|
73
ychen997 101 天前
有没有试过重新升级到 ios18 然后恢复备份 (高版本的备份无法在低版本恢复,需要原来的版本)
|
75
z5238384 101 天前
那个 2FA 的 key 不是应该打印出来 物理备份么,你这一步一步 都完美踩点上,也是人才了
|
76
Mogamigawa 101 天前 via Android
我讲讲我怎么做的,chrome 可以导出密码为 csv ,那就导出来一份,作为**基础数据**存到 sqlite 里。
自己平时注册账号就用 duckdb 读取 db 文件,写入注册信息。 还可以预存一个 sql 语句,生成随机密码。或者使用 chrome 自带的密码生成器。 然后重点来了,通过一个 bat 脚本,发送到自己的 gmail ,手机接收邮件,用的手机 App 读取。 gmail 云端一份,电脑里一份,手机里一份。 一般人拿到 sqlite 的 db 文件也不知道怎么打开,除非对方也是程序员。 如果你非要加密,原生 sqlite 没有加密,但是可以自己写加密方法,自己编译。但是有的手机 App 不支持读取加密后的 db 文件. |
77
Mogamigawa 101 天前 via Android
|
78
Mogamigawa 101 天前 via Android
@Mogamigawa
买啥软件,费钱, 密码最多两个表就行, 除了存密码,还有一个玩法,就是存 json 化的 cookie ,到另一个设备直接导入 cookie 还能存其它常用的东西 我有两个密码表,一个是 chrome 导出的,一个是自己日常维护的, 一个 cookie 表,一个书签表,一个 rss 表 一个乱七八糟的表,只有 key 和 value ,里面有各种生成密码的 sql ,各种版本的简历,常用无线电频率 |
79
Mogamigawa 101 天前 via Android
@Mogamigawa
两步验证或者双重验证的 key ,就是 Google authenticator 里的 key ,我不知道保存 key 会不会有用,反正我也留了一个字段,也存了几个 哦,登录地址的 URL 一定留个字段 |
80
Mogamigawa 101 天前 via Android
@Mogamigawa 还可以存父亲母亲的 vcf 文件,就是他们手机里的通讯录导出为 vcf 文件,vcf 其实就是 csv 文件,导入导出数据库很简单,万一他们手机丢了,可以不用过于慌张
|
81
incheon 101 天前 via iPhone
ios 不是就能存密码,搞不懂额外花钱用 1pass 有啥用
|
83
zbowen66 100 天前
自己不会用反而怪软件
|
84
EndlessMemory 100 天前
我连有哪些网站有账号我都不记得,进去得注册一下看看我有没有注册过
|
85
momooc 100 天前
说实话有点那个。全是自己的问题,不知道为什么要怪 Dropbox 。
|
86
ferock 100 天前 via Android
这就是我不用 1pass 的原因,keepass 都比这个更让人安心。
|
87
mnday 100 天前
all in vaultwarden. master password 2FA save in Google and Microsoft authenticator ...
|
88
PeneceaQwQ 100 天前
总结一下,顺便学习经验教训:
1. 三台旧设备( pad 、mac 、手机),准备换新手机 2. 迁移新机子时,陷入死循环,发现通过 dropbox 同步的 1password 同步不了( Dropbox 的 2FA ,备用代码,都保存在 1Password 保险库里面),最后通过备份恢复好了 3. 迁移新机后,想降级,降级后发现 1password 丢了 4. 恢复备份恢复不了 |
89
archxm 99 天前
好详细的分享啊
|
90
SkywalkerJi 99 天前 via Android
Dropbox 老号不如狗,我已经被删号几年了也没个说法
|
91
Xenotaros 99 天前
所以问题出在 1Password 备份无法恢复?
|
92
tigerc OP @Xenotaros
不是。 是卡在了大门口。 Dropbox 只认备用代码,他还在纸器时代。 身份证丢了,难道我就人间蒸发了? 没有身份证,一样高铁飞机。 再去办一个,也是非常简单的事。 --- 咋的,你 Dropbox 认为,拿着我的身份证,就能直接取代我了? |
93
shmilypeter 98 天前
我也是 1Password 导出的备份存在 dropbox ,同时 dropbox 的 2fa 又在 1Password 里。不过我也不至于把唯一能 2fa 的设备全部都清空了。
看了你的经历,我把 dropbox 的登录凭据在 Apple ID 的 keychain 里又存了一遍(原本我开始用 1Password 之后都不用 Apple 的 keychain 密码都清空了),这样只要我还能访问我的 Apple ID ,就还能访问 dropbox ,就不会丢了所有密码。 另外提醒大家注意下,1Password 导出的 1pux 备份文件确实会包括所有 1Password 字段,除了 passkey ,这个是跟账号的,另外 1pux 导出里不包含存档和已删除的项目。我知道 1Password 很多人都是上家庭车的,为了防止车主删库都会定期备份 1pux ,但不建议在 1Password 上绑定太多 passkey 了。以及 1pux 文件是不加密的,谁都可以导入,所以最好妥善保管。 |
94
shmilypeter 98 天前
@SkywalkerJi 老哥你该不会刷了空间吧,就算是这样也只是回收空间,不会被直接删号,除非你存了炼铜内容,这在欧美是高压线。
另外我也是 dropbox 重度用户,dropbox 老账号,仅凭做活动最高能 23.13G ,现在新账号只能 18G 了。其实 23.13G 如果纯用来同步文件,存配置,或者存一些重要的 credentials ,足够了。 |
95
SkywalkerJi 98 天前
@shmilypeter #94
没有,就存了几个文件。只是长时间不上,现在号都没了,也不知道什么时候被删的。 |
96
yagamil 96 天前
搞这么多复杂的密码,还不是一下子被阿里云盘的漏洞被破了?
|