站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用 Authy 。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用 Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy 出个这么个事故。
原因是有一个没有鉴权的 API 接口,攻击者通过这个接口批量验证手机号是否用于注册 Authy 。攻击者最终收集了 33M 个注册了 Authy 的手机号。
Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio 的基础设施和敏感数据没有受到威胁。
43 条回复 • 2024-07-07 19:46:01 +08:00
 |
1
linil 2 天前 via Android
之前 Authy 取消 Desktop 版本後覺得沒什麼優勢了,目前換到了 2FAS 。
2FA 不和密碼管理的放一起的話,單邊洩漏還是沒那麼可怕。 |
 |
2
lzhd24 2 天前 via Android
不过话又说回来,手机号就和微信号似的,一种联系方式而已,即便是泄露了,攻击者能拿来干啥呢?批量发短信钓鱼?好像影响也不大吧
|
 |
3
cdlnls 2 天前 via Android
|
|
4
cdlnls 2 天前 via Android
继续上一条回复。就可能可以得到一个对应关系,就能通过账号 id 查询到这个 id 对应的账号和邮箱。在现在这种环境下,就相当于实名。
|
 |
5
zx900930 2 天前  1
Aegis 长舒一口气,只有本地的不经过服务器的才是安全的
|
 |
6
lhwj1988 2 天前 via iPhone 9
一个 2fa 软件需要手机作为账号本身就很离谱,竟然还会有人用
|
 |
7
Dragonphy 2 天前 via Android
欢迎使用 ente auth 喵
|
 |
8
linhongjun 2 天前
还好我用 WINAUTH 本地存储 随身携带
|
 |
9
yumizhao888 2 天前 via iPhone
别能绕过手机号直接读验证码就行,要不就是大灾难。
|
 |
10
Rehtt 2 天前 via Android
我是自建 bitwarden
|
 |
11
RobinHuuu 2 天前 via iPhone
问题不大
|
 |
13
kmephisto 2 天前
所以还是 keepass 加坚果云。稳稳的。
|
 |
14
ladypxy 2 天前
手机号泄露影响不大,国内都泄露到天上去了。。。
|
 |
15
jackmod 2 天前
迁移到内网上的自建 bitwarden 已经一年了。
不过 account_status 这种字段,估计这公司也不那么体面。 |
 |
16
uuhhme 2 天前 via Android
还是有危险的。手机号做用户名和 2fa 的邮箱一起泄露,精准定位了属于是。还是喜欢 ente auth
|
 |
17
poorcai 2 天前 via Android
有没有可以在换手机后自动同步的 2fa 软件?我目前用的是微软的,换手机后里面的东西就没了。。。
|
 |
18
NICEghost 2 天前
authy 可以自建的吧...
|
 |
20
Huelse 2 天前
之前用 Authy 就总感觉不对劲,后换到微软的也差点意思,最后全转到自建 bitwarden 上了
|
 |
21
shijingshijing 2 天前 1
@lzhd24 很多用户的多个系统帐号都是关联的同一个手机号码,如果手机号泄漏最直接的是社工库里该手机号对应的用户画像多了一个特征;如果不幸同时泄漏了该用户的密码(没有做哈希,没有加盐),则有可能被彩虹表获取其他网站的用户信息。
|
 |
22
t41372 2 天前 via Android
存 totp 的东西就不该联网
|
 |
23
Davic1 2 天前
2fas ,一个优点是浏览器扩展,自动填充验证码
|
 |
25
Achophiark 2 天前
这种中心化的数据存储,迟早要出问题。keepass 解君愁
|
|
26
Achophiark 2 天前
@kmephisto keepass 虽然数据是加密的,但还是 keepass 加本地,稳一些吧
|
 |
27
hazy 2 天前 via iPhone
2fa 这东西就不应该依赖云同步,特别是 Authy 还依赖于手机号,首先就该排除。最好选择可以完全离线的应用,每次录入时顺手额外备份一下 secrets 。
|
 |
29
mscsky 2 天前
这种东西联网就是不科学的
|
 |
30
tyzrj766 2 天前
恰好前几个月换到 2FAS 了
|
 |
31
JimmyLX 2 天前
Authy 国内手机号是不是收不到验证码啊?没法注册啊
|
 |
33
username321 2 天前
现在的谷歌 auth 也可以用谷歌帐号同步 虽然可以减少换设备之后本地 2fa 丢失的危害 不过我觉得还是有风显得
|
|
34
username321 2 天前
风险的
|
 |
35
Chiqing 2 天前
怎么迁移比较方便
|
 |
36
adeweb 2 天前
像 1Password 这种存数据在服务器上的密码管理器,也是有同样的风险。之前 LastPass 不是就被拖库过。
我现在把重要应用的 2FA 存在 iCloud 的密码管理里面,苹果的安全性保障终归是高一些的。 |
|
38
uuhhme 2 天前 via Android
@poorcai 也有一段时间了,google 方便的话还是推荐谷歌。这个 ente 就是多平台同步方便,可以导出二维码,app 图标也比较全。缺点只发现一个:不是大厂出品。
|
 |
39
dearliuliu 2 天前
@lzhd24 诈骗犯欢迎你
|
 |
40
KKFantasy 1 天前
蛮早之前就想换来着,借这个契机换掉吧
|
Select Language