关于 2FA 和密码

现在许多网站都要求强密码，2FA 甚至 n-FA （ n factor authentication)。 但是我一直觉得这其实就是安全责任转嫁： 在用了这些措施之后，账号安全性就大大提升了，但是我自己登不上自己的号的概率也大大增加了。

1. 我不可能记住所有的强密码，甚至 2FA recovery code 都不是我自己能设置的
2. 我只能把强密码/2FA code 保存在某个地方
3. 保存在的这个地方也需要一个密码来保护，只要这个密码对应的关卡以某种形式陷入不安全，甚至保存这些密码的地方不安全，那么上面做的所有事情都是徒劳。
4. 如果我不把这些 code 记在某个地方，如果我手机丢了/换手机忘记迁移/等等情况发生，我立刻就登不上我的所有帐号了。

我自己的解决方案就是放弃保护这些强密码/2fa code 。我现在全部都放在 yuque/网盘/qq 微信的收藏里面，反正我自己的信息也不值钱没人要。

不知道 f站老哥们怎么看这件事。

@Ma5ter 差别不大，keepass 是官方自己的，keepassxc 是第三方的。 Why KeePassXC instead of KeePass? KeePass is a very proven and feature-rich password manager and there is nothing fundamentally wrong with it. However, it is written in C# and therefore requires Microsoft's .NET platform. On systems other than Windows, you can run KeePass using the Mono runtime libraries, but you won't get the native look and feel which you are used to. KeePassXC, on the other hand, is developed in C++ and runs natively on Linux, macOS and Windows giving you the best-possible platform integration.

自建 bitwarden 解君愁

恢复代码用 gpg 加密然后把私钥和加密文件都用 7z 强加密存在网盘上，安全性和便携性皆有

防撞库用

用密码管理器不就行了，我用 Bitwarden 官方的服务，2FA 多设几个 YubiKey ，只用记个主密码。担心云服务不稳定的话，再导出刻盘找个安全的地方放着。

如果你的数据真的那么重要，又害怕失去密码和 2FA Token 导致自己登录不上，那就同时使用多种方式备份就好了。除非所有方式的备份都被你丢失了，否则总能恢复。 比如云端备份强密码数据库和 2FA Token ，但是存在云端的之前使用端到端加密，而端到端加密的密码使用的记录在纸条上。如果害怕纸条丢失，多复印几份贴在电脑上、硬盘上就好。 如果还害怕丢失，再把强密码数据库和 2FA Token 离线备份一份到移动硬盘里。 除非有人能物理接触这些东西，否则也盗不了你数据。

docker compose 起个 2FAuth ，Github 有项目，我一直在用。

@Android99 我用的是 KeePass ，这个 KeePassXC 和 KeePass 有啥大的区别吗？

国内的短信验证码登录和微信扫码登录应该是最适合你了。