本文提到的 谷歌身份验证器的英文名称是 Google Authenticator , 其他中文名称 有 Google身份验证器 , Google验证器 . 本文统一使用谷歌身份验证器这个称呼.

对于谷歌身份验证器密文的备份, 大概可以分为两类人

一类是 从来不备份的洒脱型.

一类是苦哈哈手工复制的劳模型.

谷歌身份验证码不就是扫描一下二维码吗,难道还要备份?

90% 的人从来不备份他们的谷歌二次验证码的 Key, 这其中不乏有些朋友根本不知道这东西的存在. 更谈不上需要备份.

我备份了, 每个网站都复制16位的Key进行备份.

这些朋友,认知是非常领先的, 意识到备份谷歌二次验证码的重要性.

然而每次都苦哈哈的从网站复制16位Key,然后保存到密码管理器的你, 不觉得这操作太苦,太累了吗?

可能你会问，你有更简单的方法？

必须有，没有干货，我都对不起你的点击．

谷歌身份验证器客户端的问题

谷歌身份验证器的客户端有两个重要问题没有解决

密文没有备份.

App 没有本地密码保护

密文没有备份

Google 身份验证器扫描二维码之后, 就不再提供任何方法来恢复16位的密文. 如果你没有提前备份, 那么你的手机将成为你唯一打开你账户单点. 如果哪一天手机丢了, 所有设置过二次验证的网站你都无法登录, 最终你不得不一个一个地联系客服来从之你的. 那将会使你崩溃 .

因此你不得不手动备份,难道不是吗?

App 没有本地密码保护

如此重要的应用程序, 本身却没有任何保护, 任何拿到你手机的人,只要解锁手机,都可以直接看到你的二次验证码. 这将是多么大的风险.

有人想要盗取你的二次验证码, 只要偷偷看一下你的解锁密码即可. 如果你是指纹解锁的, 可以忽略这个问题.

你的手机解锁之后,放在桌上,可能被有心人恶意使用.

小孩子玩你的手机,无意中删除了你几个网站的验证码.

这些事情,都会将你暴露在高风险之下.

怎么破?

方法很简单, 使用其他产品替代谷歌身份验证器. 在这里我推荐两款软件 一款是 Lastpass Authenticator, 另一款是 Authy 这两款中我更推荐 Lastpass Authenticator. 这也是本文介绍的重点.

注意: 谷歌身份验证器其算法是公开的, 私密的是密文,因此这几款软件的核心功能是一模一样的, 具体原理可以参考

https://www.zhihu.com/question/20462696

首先看一下 Lastpass Authenticator 的界面, 和 Google Authenticator 长的可以说是一模一样.

而让他和 Google Authenticator 不一样的,就在于 Lastpass Authenticator 具有备份功能和软件密码锁功能.

启用备份和密码保护功能

备份功能的启用非常简单, 只需要在软件设置界面中 启用 backup 功能即可.

启用密码保护, 设置 Use Touch ID 和 Use PIN Code 即可 .

为了启用备份, 你需要先注册一个 Lastpass 账号, 并且启用双因素认证. 这里可以使用 Lastpass Authenticator 自身作为 Lastpass 的双因素认证软件.

死循环问题

聪明的你可能已经发现, 把 Lastpass Authenticator 的备份放在 Lastpass 上, 然后 Lastpass 登录又依赖 Lastpass Authenticator , 这不是死循环了吗?

其实这个问题, Lastpass 已经帮你解决. 当你在一个新设备上登录 Lastpass 时,且没有 Lastpass Authenticator 可供使用时, 你可以通过发送短信的方式接受二次验证码. 这就可以跳出这个死循环.

与Lastpass 的集成

这是非常棒的一个功能, 当你在新设备上登录lastpass 时, 你的手机会受到一条提醒, 你只需要点击是或否就行, 无需输入6位数字. 你的lastpass账号在得到保护的同时, 又不会那么痛苦.

再也不用担心换手机

当你换手机时,在新手机上登录Lastpass, 由于你有二次验证, 需要在原手机上点击一下确认. 然后到新手机上登录 Lastpass Authenticator 数据就自动同步过来了.

如果你手机丢了, 请第一时间通过远程抹掉手机的方式将丢失的手机数据清除, 同时去补办手机号. 在新手机上通过发送验证码的方式登录 Lastpass.

为什么不推荐Authy

Authy 具有和 Lastpass Authenticator 相同的功能. 不选他的原因是 Authy的体验和 Google Authenticator 相差太大. 看下图, Authy一次只能显示一个网站的二次验证码, 你要切换账号时, 是非常痛苦的.

安装

最后讲一下安装, 苹果手机直接在 Apple Store 中搜索 Lastpass Authenticator安装就行．

安卓就要痛苦一些

很多应用商店没有 Lastpass Authenticator, 你需要 Google Play 中搜索安装.

Lastpass Authenticator 的运行依赖 Google Play Core服务, 很多国产手机去掉了这个服务. 需要安装一下.

写在最后

经过以上设置, 密码中最薄弱的一个环节成了手机号, 因为可以通过手机号接收验证码而获取到所有的密码和二次验证码. 因此我建议你使用一个全新的手机号, 作为你密码体系的最后保障. 实际上,我就是这么做的.

我们整天嚷嚷着去中心化 , 但是你看, 最核心的密码,你却是交给一个中心化的组织去保管的, 是不是很奇特?