Bitwarden 支持把密码本和 TOTP 放在一起,这是出于什么考虑?

2022-10-05 09:43:02 +08:00
 Archeb

TOTP 本来的目的应该是在密码被泄漏 /撞库 /钓鱼的情况下提供多一层保护,如果有人把把密码本和 TOTP 密钥放在同一个地方,这不就相当于只上了一道锁吗?

如果 bitwarden 的数据被人导出了(虽然这件事发生的几率不大) TOTP 也没办法提供保护

从结果来看,二步验证的安全性直接变成一步验证了,而且还麻烦了自己。更别提 bitwarden 这个功能官方版里还要另外收费了……

所以这个设计让我很迷惑,望 V 友解答这是在什么情况下会有意义的功能。

6632 次点击
所在节点    问与答
43 条回复
ZeawinL
2022-10-05 13:58:53 +08:00
有一种场景,我没可信任的设备,我分成两个密码数据库,一个存密码,一个存 TOTP
ffgrinder
2022-10-05 15:52:57 +08:00
#24 #31 真就是纯嘴硬。“又或者比如在公司头顶有高清晰度的监控”。你的手机 TOTP 能规避这个吗?我第一次录制你的密码, 第二次只要盯着你打开令牌页面我就抢先输入 TOTP 是不是就完成了登录呢?更离谱的我和你同时发起一次登录,用 Microsoft Authenticator 你能区分哪个是你发起的,哪个是我发起的?

真有需求上硬件 TOTP 啊,好像你分开放就某改了一样。
TossPig
2023-09-28 19:38:12 +08:00
从结果来看,对于我自己开启 Windows holle 的设备于我而言相当于无密码😉

一旦有人绑架我到我电脑面前就可以开启我的设备,那么浪费空间和计算资源的全盘加密还有什么意义?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/884687

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX