Authy 2FA 备份的工作原理

几年前，Google Authenticator 发布了 iPhone 应用程序的更新，在安装后会擦除用户的 2FA 令牌。这促使许多用户切换到 Authy 以利用我们的备份功能。我们偶尔会收到用户和开发人员关于此特定功能的疑问，因此本文将解释备份功能的工作原理，以缓解任何安全或隐私问题。

我还想明确表示，用于加密 2FA 令牌的密码不会存储在我们的云服务中的任何位置。这个密码你一定要记住。忘记它，您就失去了解密 2FA 令牌的唯一方法。话虽如此，让我们看看这个功能是如何工作的。

备份是可选的！

如果您不启用备份，您的帐户将仅存储在您的手机内（就像大多数其他 2FA 应用程序一样）。您无需将密钥同步到 Authy 即可将手机用作第二因素。如果您不需要方便的备份，没问题 — 只需禁用备份即可。

备份在上传前已加密

让我们直接说明我们如何处理加密。为了您的方便，Authy 可以在云中存储您的身份验证器帐户的加密副本。该帐户在您的手机内进行加密/解密，因此 Authy 或与 Authy 关联的任何人都无法访问您的帐户。

为了使备份跨设备兼容，所有Authy iOS、Android 和桌面应用程序都使用相同的加密/解密方法。（如果这篇文章的这一部分有点技术性，请向用户道歉，但开发人员会理解的。）

Authy 密钥备份的工作原理：

备份分几个步骤执行：

• 我们要求您输入密码。密码长度必须为 6 个字符，但我们建议您的目标长度至少为 8 个字符。
• 然后，您的密码将被加盐并通过名为 PBKDF2 的密钥派生函数运行，PBKDF2 代表基于密码的密钥派生函数 2 。PBKDF2 是一种密钥拉伸算法，用于对密码进行哈希处理，从而降低暴力攻击的效果。如何完成此操作的细节非常重要：
  • 我们使用安全哈希算法，它 是可用的最强哈希函数之一。它是一种单向函数——无法解密，并且是可用的最强大的哈希函数之一。
  • 我们使用1000发子弹。随着低端 Android 手机处理器能力的增加，这个数字将会增加。
  • 我们在开始 1000 轮之前对密码进行加盐处理。
  • 盐是使用安全随机值生成的。
• 使用派生密钥，每个身份验证器密钥均采用高级加密标准AES-256在密码块链接 (CBC)模式下进行加密，并为每个帐户提供不同的初始化向量( IV)。为了使每条消息都是唯一的，必须在第一个块中使用 IV。
  • 如果任何身份验证器密钥为 128 位或更少，我们将使用 PKCS#5 填充它们。
• 仅将加密结果、salt 和 IV 发送到 Authy。加密/解密密钥永远不会被传输。

恢复 Authy 密钥：

如果您有新手机或正在添加新设备，您可以按照以下步骤恢复您的 Authy 密钥：

• 首先在您的新设备上安装 Authy。
• 接下来，使用 Authy 确认您是原始帐户的所有者。您需要使用最初注册 Authy 时使用的原始电话号码和国家/地区代码。
• 您将在另一台设备（短信或语音）上收到 OneCode 通知，并且需要在密钥同步之前输入该值。密钥同步后，您必须提供备份密码才能解密密钥。
• 请注意，此新设备上的 Authy 密钥使用不同的 TOTP 种子值，因此每个设备上提供的代码将有所不同。
• 对于 Google Authenticator 密钥，不幸的是情况并非如此，因为用于创建这些初始 TOTP 因素的 QR 码是种子值，并且在所有同步设备上都是相同的。利用 Authy 作为 2FA 提供商的另一个原因。

大规模且日益常见的数据泄露事件基本上已经让登录凭据为公众所知。在当今世界，电子邮件和密码的配对根本不安全。双因素身份验证（例如 Authy 的免费 2FA 应用程序提供的那种）旨在防止任何人访问您的在线帐户，即使用户名和密码已被泄露。除了您的登录信息之外，它还要求您在现实世界中访问您的手机或设备，从而保护您的数字世界。不幸的是，这也可能意味着，如果您意外丢失、损坏或升级手机，并且没有采取必要的预防措施来确保对 2FA 的访问，您可能会被阻止。  

多设备是 Authy 应用程序的一项关键功能，允许用户在多个设备上访问其 2FA 令牌，从而有助于防止锁定情况。借助多设备，用户可以在设备之间同步 2FA 令牌（例如第二部手机、平板电脑、笔记本电脑，甚至台式机），并有效地创建“备份”Authy 设备。多设备功能还可用于轻松地将令牌从一台“受信任”设备迁移到另一台设备，例如用新智能手机更换旧智能手机时，而无需在使用的每个地方单独重新配置 2FA。只需按照以下步骤同步新设备，并记住在删除旧设备之前取消对旧设备的授权。 

启用多设备

从第二台设备访问 Authy 2FA 只需几分钟即可完成设置。只需按照此分步指南进行操作即可。

1. 在您的主设备上打开 Authy 应用程序。点击“设置”（右上角的齿轮图标）。
2. 点击“设备”。
3. 打开“允许多设备”。
4. 现在，在您的第二台设备上安装 Authy。 
5. 安装后，打开 Authy 应用程序。出现提示时，输入主要设备的电话号码。
6. 将出现一个弹出窗口，内容为“获取帐户验证方式”。点击“使用现有设备”。
7. 现在返回您的主要设备。将出现一条通知，要求您验证新设备的添加。点击“接受”。
8. 当提示您批准此决定时，请在输入字段中键入“确定”。
9. 返回主设备上的“设置”，然后再次点击“设备”。
10. 现在，您将看到两个“可信”设备连接到您使用 Authy 启用的任何当前（和未来）双因素服务。

使用 Authy 保持额外安全

不要设置后忘记它：  为了防止添加任何其他（和未经授权的）设备，请确保返回并在两台设备上禁用“允许多设备”。您始终可以从这些受信任的设备中返回并重复该过程。经验法则：至少在两台设备上安装 Authy，然后禁用“允许多设备”。

本地加密：  使用 Authy，您的所有身份验证令牌都在本地加密：Authy 的服务器上不会保留任何令牌。因此，即使 Authy 受到损害，所有单独的令牌在您的设备上仍然是安全的。 

出售之前：  确保用于身份验证的设备始终受密码保护，如果您计划更换或升级设备，请确保在出售旧设备之前在 Authy 帐户设置中删除该设备的访问权限电话。