在网上寻找一个显示2因素代码的服务，而不是在我的手机上。

Question

我正在使用我的手机作为2要素认证。

我有一些备份代码写下来，但总的来说-这将是一个麻烦，恢复我的证书，如果我的手机丢失。

我正在寻找两个因素认证在线-一个服务，让我们叫他们2FA-online，提供个性化的URL (密码保护与否)，以便当认证代码是需要的-我访问的网址不依赖电话。

潜在的攻击者不知道我是使用电话还是使用2FA-online，所以在我看来是安全的--因为攻击者的任何页面看起来都是随机的、不断变化的数字的显示。

https://github.com/google/google-authenticator

可插拔身份验证模块(PAM)位于一个单独的项目中。

我能够看到C代码，因为它是由Google编写和维护的，所以它呈现出相对较高的编码标准。

我希望有人已经把这个代码整合到他们的产品中了！

PS。出于上述类似的原因-不使用加密-太担心安全存储私钥.

编辑/更新:我在做备份，想知道为什么我不能简单地从Google应用程序：https://security.stackexchange.com/questions/172428/what-are-the-security-consequences-of-allowing-2fa-app-google-authenticator-to中提取种子

Answer 1

写这样的东西很简单。

它是否足够安全？这取决于您的2fa-online web服务的安全性。

下面是一个使用模块宣誓的Python片段，它从第一个逗号行参数提供的文件中读取基32编码的共享机密，并输出一个6位数的TOTP值：

# -*- coding: utf-8 -*-
"""
Generate TOTP value based on key read from file
"""

import sys, base64, hashlib, binascii

import oath

secret = open(sys.argv[1], 'rb').read().strip()

print oath.totp(
    binascii.hexlify(base64.b32decode(secret)),
    format='dec6',
    period=30,
    t=None,
    hash=hashlib.sha1
)

Answer 2

使用Authy：https://authy.com/

它允许我在我的手机/笔记本电脑上安装应用程序，因此消除了丢失手机和没有2FA种子备份的单一故障点。

一个失败的点失去手机，有人把SIM到一个新的设备重置我的Gmail (现在他们有Gmail和电话)仍然存在。