关于谷歌二步验证-ChenYFan

我双手赞同。

首先，我自己经历过这件事情。在学校公共电脑上登陆谷歌账号，退出后没有清理，然后另一位同学也登陆了，直接把我的书签历史甚至密码同步到了他的账号！我当时吓得魂不守舍，后来才意识到谷歌有二步验证这个东西。

谷歌的验证是基于totp，简单点说就是根据一个固定密码和时间生成的临时密码。这不同于手机验证！国内的手机验证私钥是不给的，你必须要保持手机带在身边才能保证登陆。而谷歌给了密钥，这样你只要根据密钥和时间就可以计算（也可以口算），甚至不需要连接网络。所以，谷歌的二步验证可以不用手机！bitwarden

可能有人会抱怨，开二步有啥用。

安全是最主要的原因。但我推荐的一个重要原因是开了这玩意就不要手机邮箱验证了！这对我一个不能带手机的学生党非常有用（

这是一段js计算二步的模块

import jsSHA from "jssha";
const totp = (key) => {
function dec2hex(s) { return (s < 15.5 ? '0' : '') + Math.round(s).toString(16); }
function hex2dec(s) { return parseInt(s, 16); }

function base32tohex(base32) {
var base32chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567";
var bits = "";
var hex = "";

for (var i = 0; i < base32.length; i++) {
var val = base32chars.indexOf(base32.charAt(i).toUpperCase());
bits += leftpad(val.toString(2), 5, '0');
}

for (var i = 0; i + 4 <= bits.length; i += 4) {
var chunk = bits.substr(i, 4);
hex = hex + parseInt(chunk, 2).toString(16);
}
return hex;

}

function leftpad(str, len, pad) {
if (len + 1 >= str.length) {
str = Array(len + 1 - str.length).join(pad) + str;
}
return str;
}

var key = base32tohex(key);
var epoch = Math.round(new Date().getTime() / 1000.0);
var time = leftpad(dec2hex(Math.floor(epoch / 30)), 16, '0');
var shaObj = new jsSHA("SHA-1", "HEX");
shaObj.setHMACKey(key, "HEX");
shaObj.update(time);
var hmac = shaObj.getHMAC("HEX");

var offset = hex2dec(hmac.substring(hmac.length - 1));

var otp = (hex2dec(hmac.substr(offset * 2, 8)) & hex2dec('7fffffff')) + '';
otp = (otp).substr(otp.length - 6, 6);

return otp
}

export default totp

我之前也写了一个基于cfworker 密码存储与二步的软件，安全性没有得到可靠的验证，请大佬破解，如果有必要可以开源

https://passlesstest.baipiao1.workers.dev/login

如果想看源代码，请将回复github用户名，我将特邀

热议
来自 5#楼 ChenYFan 昨天14:17

就怕国内收不到，其他影响不大

我说的很明白了，和手机无关，你只要拿到密钥，手算都行

推荐楼 wxcszh123 昨天14:31

是的，赶紧一起用1pssword管理你的全部密码吧

https://hostloc.com/thread-909999-1-1.html

推荐楼 tcpdump 昨天14:38

推荐楼 HOH 5小时前

好几年前就嫌单位堡垒机麻烦自己弄了个了

2楼 hcyme 昨天14:09

就怕国内收不到，其他影响不大

3楼 bigbigboss 昨天14:12

就怕国内收不到，其他影响不大

收不到？ 这个不依赖网络只是计算而已吧

4楼 等1下™我老公呢 昨天14:13

我是用验证器输临时密码验证的

6楼 cherbim 昨天14:18

个**验，谷歌开了两步验证，总给我发给设备验证，安卓没有GMS，直接收不到，ios玄学收到，有时很快，有时上午发的，下午才收到，
这狗日的谷歌，我明明设置了手机号码验，它非要给我发到手机设备上，还不能选手机号码

7楼 hcyme 昨天14:19

bigbigboss 发表于 2021-11-3 14:12
收不到？ 这个不依赖网络只是计算而已吧

有一次可能ip比较脏，立马要我用手机验证，开了手机直接点击就过了，完全没有明白，不是短信也不是验证码。

8楼 ChenYFan 昨天14:22

个**验，谷歌开了两步验证，总给我发给设备验证，安卓没有GMS，直接收不到，ios玄学收到，有时很快，有时上 ...

你可能选择手机验证，我指的是totp。开了totp就没必要用手机了

9楼 louiejordan 昨天14:23

现在网站都应该提供开启两步验证的功能，虽然繁琐，但这是一个在多数时候能够保护隐私的方法

10楼 ChenYFan 昨天14:28

现在网站都应该提供开启两步验证的功能，虽然繁琐，但这是一个在多数时候能够保护隐私的方法 ...

是的，据我使用体会，国内外面向程序员和虚拟币的大网站都有二步

12楼 tcpdump 昨天14:38

13楼 ChenYFan 昨天14:48

是的，赶紧一起用1pssword管理你的全部密码吧

https://hostloc.com/thread-909999-1-1.html ...

你可以试试我写的passless，简单有效并且开源，你可以留下github用户名看看passless源代码
毕竟，你也不会知道1p会拿你的密码干什么。这东西还是自己写保险

14楼 929900276 5小时前

不好意思，没看懂
谷歌开启二验是给你一个私钥嘛，然后你展示的代码是根据这个私钥如何运算出验证码用的吗？

15楼 ChenYFan 5小时前

不好意思，没看懂
谷歌开启二验是给你一个私钥嘛，然后你展示的代码是根据这个私钥如何运算出验证码用的吗 ...

是的，没毛病。只不过验证码还要加上时间。

totp是谷歌二步的一种

16楼 HOH 5小时前

好几年前就嫌单位堡垒机麻烦自己弄了个了

17楼 929900276 2小时前

是的，没毛病。只不过验证码还要加上时间。

totp是谷歌二步的一种

哎呀可是我存私钥也感觉很烦
我对账号安全要求很低，我还是很难接受二步验证

我比较怕麻烦，哎

18楼 ChenYFan 11分钟前

好几年前就嫌单位堡垒机麻烦自己弄了个了

这种算法不难，拿到私钥就冲了

19楼 ChenYFan 8分钟前

哎呀可是我存私钥也感觉很烦
我对账号安全要求很低，我还是很难接受二步验证

主要是，如果账号被风控，使用totp进行二步就无需手机验证或者邮箱验证，反而更简单

20楼 32MB.CN 3分钟前

记住要用不怕丢数据的记录器，谷歌官方验证器成功的把我一个gmail锁住了

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。