2步认证混合

Question

我正在进行两步认证。我明白它比简单的密码安全得多。然而，我总是害怕开始使用它，因为我相信在某些情况下，我可能会被“忽略”我的帐户。

谷歌(例如)提供了很多避免这种情况的方法(短信、电话、几个电话号码、离线、打印代码等)。然而，我无法停止在“如果.我不能登录时，当我需要它”的想法。

所以我想到了一个混合认证过程，我相信它可以工作，我想知道你是否看到了其中的缺陷，或者你认为它是安全的。它将使用两个步骤的身份验证，但能够设置一个(或多个)以防万一的密码。如果由于某些原因无法访问第二步设备，则可以使用其中的一个密码(无需第二个身份验证因素)。然后，该密码将被禁用，直到您使用2步身份验证访问帐户，并且您可以决定删除它或重新启用它(根据您使用它的环境)。

你认为如何？

Answer 1

我相信这会达到双因素认证的目的。两个因素的要点是有两种形式的验证: 1)你有责任生成你自己和知道；2)一种你不生成和知道。

创建由服务生成的代码与拥有第二段代码一样，您可以物理地保存和知道，但至少不是自己生成的。