谷歌賬戶的兩步驗證（2 step verification）有多安全？

1樓：

同意樓上的說法。

理論上TOTP是服務端和客戶端各持有乙個初始密碼，登入時兩邊基於乙個相同的時間（每30秒或60秒）進行類似雜湊值的計算，只要是同乙個初始密碼，同一時間就可以算出同乙個兩步驗證用的6位密碼。

這種方式理論上可以很安全，但實際卻很骨感，我構思了以下幾個場景，有可能會搞出事情來：

兩端都是基於時間一致的前提來進行驗證，如果想辦法讓它的時間伺服器產生誤差會如何？大多數時間伺服器用的都是NTP或chrony，基於UDP協議來進行同步，如果對該伺服器進行一番轟炸，比如各種爆破，使用ARP劫持傳送偽同步訊號，如果是通訊加密的話，那就直接DDOS，總之讓進出訊號都受干擾，那麼其時間同步就開始產生時間差，時間差超過一定闕值的話，TOTP就出現大面積失效了。

如果伺服器端足夠安全，那麼客戶端呢？想辦法讓客戶端產生時間差，也足以讓某個客戶端進不去了，比如在路由器上，據說大部分路由器都有被洩漏的管理員密碼。而通過某些大神的路由器刷機包還可以統一接收指令統一改時間。

說到刷機包，那麼手機... ...

如果脫褲了。。。，初始密碼有了，兩邊一起算也是這個值啊：）

以前在某個紅網上看到一句話，沒人對你搞事情只是因為你沒名或者沒錢。

2樓：秋雅

親身經歷。因為一些原因直接恢復出廠設定了，Google身份驗證器自然也沒了，然後就是什麼呢，所有新裝置都無法登陸！！！已經登陸Google的老裝置沒有任何辦法修改個人資訊和設定，更無法關閉兩步驗證或者是重置兩步驗證。

簡而言之丟失了兩步驗證，賬戶持有人，也就是自己都無法登陸。可想而知其他人呢？補充一點，身份驗證其不起作用的時候可以接收簡訊驗證碼驗證器和簡訊任選其一都可以使用。

3樓：小白

我這兩天根據網上的資料在CentOS 6.5的環境下部署了Google Authenticator，並設定系統SSH登入與Google Authenticator的關聯。的確實現了兩步認證的效果。

但是，有乙個致命的安全隱患，我是使用不帶任何引數的「google-authenticator」命令配置的，在家目錄下生成了乙個隱藏的.google_authenticator檔案，這個隱藏檔案中明文紀錄著驗證碼，也就是說，只要能拿到這個驗證碼，就能實現與手機等裝置的繫結，進而獲取登入系統所需要的動態碼。不知道有哪位牛人能指點一二？

4樓：

二次認證機制與中國銀行網銀動態口令牌（中銀E令）工作原理相似，根據當前時間結合裝置屬性（令牌序列號、手機號等）生成6位數字密令。相對於僅通過密碼驗證身份，更加安全。

密碼可能因為遭遇釣魚、相同密碼而洩露。在未收到安全警告的條件下，使用者可能相當長時間都不會變更密碼。這段時間內，攻擊者可以任意進入賬戶。

當開啟二次驗證時，如果攻擊者無法獲取6位數字，將不能通過身份驗證。當洩露時，6位數字有效期也只有60秒。

但在60秒內仍可能產生安全問題。中行網銀曾出現連同二次驗證碼一同釣魚的情況。攻擊者獲取密碼及安全碼後，搶在60秒有效期內，仍可實現非法入侵。

兩步驗證，相對僅使用密碼保護，可以有效提公升安全性，但不能說滴水不漏，仍需要使用者具有一定的安全意識。

應用專用密碼

某些不在瀏覽器內執行的應用尚不支援兩步驗證，且無法請求驗證碼，例如：舊版 Android 智慧型手機、Chrome 瀏覽器同步、郵件客戶端，例如 Microsoft Outlook、聊天客戶端，例如 Google Talk、AIM 等。

要使用這些應用，您首先需要生成乙個應用專用密碼，然後在應用的密碼欄位中輸入該密碼，而不是常規密碼。對於任何需要專用密碼的應用，您均可以為其新建立乙個。

使用應用專用密碼登入

類似應用

5樓：齊小空

兩步驗證雖然給人感覺很安心，但是現在支援的程式還是太少了，Chrome的同步和Android手機的Google賬戶都無法正常使用了，於是只好放棄掉……

6樓：王俊煜

Googler 就用這個在公眾網路登入工作系統，你說安全不？(實際操作略有不同，但原理一致)

也不是完全沒有被盜的可能性，例如盜取者做乙個釣魚頁面騙你輸入密碼和驗證碼，然後在幾秒鐘內用這個資訊去登入你的 Gmail 賬戶，也是可行的。

谷歌賬戶的兩步驗證（2 step verification）有多安全？

谷歌賬戶開了兩步驗證，手機號換了沒法登入怎麼破？

為什麼女排上步都是三步而男排是兩步

棋類遊戲規定每次連續走兩步可行嗎？

其他用戶還看了：