换手机/手机丢失后的两步验证 (Google Authenticator)

两步验证 (Two Factor Authentication) 用于加强程序验证的安全性. 即使你的密码被别人破解, 那么没有手机, 你的帐号还是安全的. 启用两步验证需要绑定手机. 在第一次启用时候服务器会产生一个密钥, 用户通过扫描二维码把密钥保存到手机中, 如果更换手机, 则需要重新添加密钥.

服务器和手机都保存同一密钥, 这么一来, 在输入密码需要两步验证时, 用户需要输入验证程序中(例如 Google Authenticator)给定的6位数字.

大概原理就是:

6位验证码= HASH(密钥+ 当前时间戳/30秒)

6位验证码默认30秒内有效. 服务器只需要验证生成的6位验证码30秒内是否一样就知道手机是否存有同样的密钥. 如果每次都要通过手机上两步验证来输入6位验证码挺麻烦的, 所以网站一般都会提供 “请记住我30天” 或者 “两周内不用重新登陆” 这样的字样, 但关键重要的交易还是需要两步验证.

两步验证大大提高了安全性, 而且也较为方便. 因为现在用户几乎是手机不离身(而不像U盾经常会不知道放在哪里). 两步验证较手机短信验证安全因为现在技术已经可以很容易克隆SIM卡甚至伪造短信.

前几天, 媳妇送我 iphone 8, 我一高兴, 把原先的 iphone se给清空数据了, 打算放EBAY上卖些零花钱. 结果后来才想起来我很多应用都开启了两步验证, 这下麻烦了:

• Vultr, CloudFlare 都需要在邮件里提供一些帐号信息确保是你客户才帮我解除两步验证.
• Linode 因为当时还是在”30天内免登陆”的状态, 很神奇登陆状态就可以解除两步验证.
• Google 需要通过手机短信确认才解除两步验证.
• Namesilo 需要在线回答几个问题就可以解除两步验证.
• localbitcoins.com 申请解绑后有一个两周的 cooling period, 两周后才可以自动解绑.
• Coinbase 最变态, 原来的帐号彻底不能用, 客服让我申请一新帐号后添加同样的信用卡然后人工把旧帐号的余额转到新帐号上.

为了避免不必要的麻烦, 一些应用还提供了一次性的备份码, 用于手机丢失后可以紧急恢复帐号. 如果换手机, 最靠谱的方法需要登陆应用, 先解绑两步验证(旧手机验证), 然后再用新手机启用两步验证.

提供两步验证的网站通常会有后备方案, 一般2步验证的初始会有一串字符或者QR码, 把这两个东西保存起来, 以后用于换手机恢复, “第一次启用时候服务器会产生一个密钥, 或者二维码”, 保存起来就可以了, 以后随便换手机重新导入就好了, 和比特币钱包私钥一个道理.

2-FA 验证软件

我用的是 Google Authenticator 软件, 微软也有一个类似的两步验证软件 . 还有其它的, 比如Authy软件.

我只是用微软的那个Authenticator登陆微软帐号, 其它帐号都是用 google的, google的相当好用, 暂时没发现什么问题, 如果要换手机, 可以用另一手机扫描然后就可以把所有帐号转过去了.

不能自动云同步两步验证的资料, 这是为了安全性考虑的, 手机丢了, 很可能别人就能用你的手机登陆, 然后就很容易把认证转移到别的手机上.

我之前换手机 忘记备份二维码, 然后 cloudflare, coinbase帐号特别麻烦, 得联系客服 证明是你自己, 然后移到新手机, 当时coinbase还不支持, 最后面让我创建一新帐号, 把币从旧帐号转移到新帐号上.