为啥我用1password生成的random密码修改了银行密码之后银行不认,还是只能用旧的密码登录?
我也同意短信没有authenticator好。
很多网站不仅经常收不到短信,有些不支持国外号码,特别是手机掉了以后来不及收短信等。
但请问它比google authenticator好在哪里?我上次手机掉了,新手机google authenticator一登录google账号,全都秒恢复了
想問在國內,tmobile短信還算穩定,但是google authenticator需要科學上網才可以穩定使用嗎(我用了幾次是不需要科學上網,但是不知道穩定性好不好)
而且发现1password电脑和手机不同步。电脑修改了密码,但是手机上面却没变还是原来的。
用google authenticator的时候是可以不登录你google账户的,这样你的2fa在你手机本地才有
不登录的好处是安全性高,因为就算你google账号被黑了别人也拿不到你的2fa,google之外的账户还是安全的。坏处是你手机丢了就得把这些2fa重新加上,如果你没有备份的话会很麻烦
我个人是不登录的,加完2fa以后把二维码和recovery code都打印了收起来,万一手机丢了还能很快重新加上。不过这样挺麻烦的,每次加2fa都得打印一次,主要看你愿意为提高安全性花多少时间了
我个人觉得把password和2fa都放在password manager里面有风险,因为相当于你把two factor变成了one factor。如果你password manager被黑了你的2fa完全就保护不了你了
至于是不是要用password manager的server,这个看自己的选择,跟你把钱放银行还是放家里是一样的:放银行的话肯定容易被盯上,因为大家钱都在那里,但是银行也会有专业的安保来保护你的钱。放家里被随机盯上的机会小一点,藏的好的话也不好找,但是家里的安保肯定比不过银行
还好我手机用的Android,PC浏览器用的Chrome
那就听方便的。不知道android上app的登录做得怎么样,能跟autofill chrome里面存的密码吗?比如自动在amex app里面填我在chrome里面存的密码?
多数可以,有一部分可能是app和网页版的网址不太一样需要手动选择
1 个赞
Really. Doubt so.
It’s very simple to implement a only-in-memory key that can only be fetched from Google server.
And a simple not-so rigorous test: Check if you can see Chrome-saved password once you disconnect internet, restart the PC, and open Chrome.
感觉这样的话蛮影响诸如Awardwallet之类的track自己点数的?
有可能会也有可能不会,取决于第三方app从银行拿数据的方式
有些银行通过api提供数据,你授权以后第三方会得到一个接入你账号的secret token,以后都通过这个token拿数据,不依赖你的密码和2fa
但是有些银行没有提供api,第三方只能模拟你的登录方式用scraping或者screen capture拿数据,这样就会受到2fa的影响
现在主流的银行大多都有提供api,但是如果你的卡比较多,很大概率会碰到受影响的账户
总的来说这个看你自己的权衡,愿意冒多少的安全风险来换取tracking的便利。我个人也有用第三方软件,连接的十几个账号里面有一个受到2fa的影响,得每过一段时间重新连一下
哪个帖子?
authenticator换手机比较麻烦?二维码和recovery code是什么?为啥需要打印?
嫌换手机麻烦的话可以登录google账号同步到云端,但是如果你google账号也被黑了的话authenticator就起不到保护你的作用了
二维码是你加2fa到authenticator时候扫的码,recovery code是你2fa丢了的时候可以用来登录账号的。建议打印出来然后删掉电子记录,因为要到你家找到你打印版本的难度比侵入你电脑拿到这些信息的难度要大得多
据说谷歌密码管理器最近更新以后支持端到端加密了。密码安全性有好些吗?