关于 2FA 和密码

现在许多网站都要求强密码，2FA 甚至 n-FA （ n factor authentication)。 但是我一直觉得这其实就是安全责任转嫁： 在用了这些措施之后，账号安全性就大大提升了，但是我自己登不上自己的号的概率也大大增加了。

1. 我不可能记住所有的强密码，甚至 2FA recovery code 都不是我自己能设置的
2. 我只能把强密码/2FA code 保存在某个地方
3. 保存在的这个地方也需要一个密码来保护，只要这个密码对应的关卡以某种形式陷入不安全，甚至保存这些密码的地方不安全，那么上面做的所有事情都是徒劳。
4. 如果我不把这些 code 记在某个地方，如果我手机丢了/换手机忘记迁移/等等情况发生，我立刻就登不上我的所有帐号了。

我自己的解决方案就是放弃保护这些强密码/2fa code 。我现在全部都放在 yuque/网盘/qq 微信的收藏里面，反正我自己的信息也不值钱没人要。

不知道 f站老哥们怎么看这件事。

2FA 装个谷歌身份验证器不就好了

就像楼上说的，你自己装 google 或者微软验证器就行。 你要不信 google 和微软，你也可以自己搭建在你家路由器上，另外用得着保存 2fa 密码吗？直接备份你所有就行，加起来文件也就几百 k 。

安全都是相对的，你的信息不值钱，MFA 就是没用的

自建 VaultWarden ，能上两步验证&passkey 的全上，银行卡之类的各种信息也都能塞进去。还可以建立组织，和对象共享一部分账户。分享加密文件之类的也能在 app 内操作。 风险仅在于你的密码库能否被找到(局域网内或公网上的)，并且找到后能否被破解。 整理好之后用起来会非常舒服，浏览器&手机自带管理器里存的全都可以删掉了。

怎么说呢，正是因为你能记住，所以密码太简单了。要一个你记不住的复杂的密码。

也可以用个支持 TOTP 的密码管理器。 比如 [KeePassXC]( https://keepassxc.org)，给数据库设置密码保护。 注意别忘了密码就好，否则几乎没有办法找回。

keepass 用 密钥文件 + 密码；即使泄露了密码，没有密钥文件也无法打开 密钥文件可以是一张普通的照片，随便放哪都可以

目前大部分的 2FA 都可以用邮箱、手机号解除，密码保管类软件也可以存储。 纯手机号登录倒是方便了，别人捡到也方便登录账户（不管有没有价值，反正挺恶心）。

无密码登录，但是除了大厂用根本推广不开啊