怎么保存双因素认证的 backup codes?

买几个 SD 卡（小容量很便宜），开文件系统加密（比如 Mac 可以格式化成加密的 APFS ），用来保存所有的 recovery code 和私钥（ GPG 、密码货币钱包等）。

然后放在不同的地点，主要是起到异地备份的作用，但仍然需要记住一个密码。

关键点是“分开保存”

我选择不保存，我用的 1 ，并且多重备份，能弄丢 TOTP 的 secrets 那我一定也会弄丢 backup codes ，对我来说没有意义

这太乱了。

最方便的方式就是用 Safari 浏览器搞双因素认证，把 backup codes 复制粘贴在 Safari 浏览器的密码“备注”框里。Safari 浏览器的密码用指纹登录查看，如下图所示


你的指纹总不会丢吧？

密码管理器开两个数据库，一个保存密码，一个保存其他数据

@NoOneNoBody 确实，关键点是分开。单独的加密文件，单独的密码管理器数据库，都是可靠的。就是要定期恢复演习防止自己忘记主密钥。

@naminokoe 你这个就是方案 1, 把双因素降级成单因素，出了问题一锅端。

谷歌的可以云同步了，只单独保存几份 google 的？

@dode 啥时候可以云同步了？ 我咋没提示更新

保存转移的二维码就行 ，TOTP 可以逆推出来，GitHub： https://github.com/krissrex/google-authenticator-exporter

或者**加密**文件 放在云盘上

密码管理器是区分联网和非联网的。纯本地密码管理器，包括像 Keepass+网盘这种自主同步的变相本地密码管理器，并不破坏双因素认证，可以放心使用。

双因素认证 ，是防止密码在「服务器端」、「网络传输」等外部过程中泄漏后直接裸奔的。不止双因素认证，基本上用户认证这一块，都不会考虑纯客户端的泄漏保护（至于防止帐号共享、社工爆破等其他方面，那些也属于信息安全，但不再属于用户认证这一个子范围）。

打印下来放家里。

text 文件，7z 打包加密，放各个云盘上。哦，注意所属账户不要写的太直白。就算被破解了也猜不出来哪个 code 对应那个账户，只有你自己知道。

@RunCCx

去谷歌应用商店看看
https://applealmond.com/posts/184033

放在 Time Machine 磁盘里，开了密码保护。

放在另一个密码管理器上

[1]对称加密,然后随便扔网盘

[2]在第 1 步基础上,把密文编码成可打印字符串,然后去打印店里打印+塑封,可选编码方式:

[A]BASE64,通用

[B]BASE58,恢复时扫描更友好

[C]BASE16384,编码成全汉字

@nothingistrue 双因素本来是 what you known and waht you have 吧，密码属于 what you known, 早期的双因素认证方式就是 RSA token （硬件 TOPT ），U 盾，这些是 what you have. Google authenticator 只是 RSA token 的廉价替代，它长期不支持备份和同步也是出于这个考虑。

@billlee 在 Stripe 关于“安全地存储备用验证码”给出的解决方案, 可以参考一下

我是放在一个文件夹里面，然后本地 AES 加密之后，扔到了 Dropbox

我是存 Onedrive 保险箱里面，还有一部分是 Onenote 笔记设密码

重点不是这个要加密，重点是让别人不知道你把这个东西保存在哪里，以及这个东西是什么

用的 Keepass ，创建了一个新的密码库专门存这类内容。