Authy 2FA 備份的工作原理

幾年前，Google Authenticator 發布了 iPhone 應用程序的更新，在安裝後會擦除用戶的 2FA 令牌。這促使許多用戶切換到 Authy 以利用我們的備份功能。我們偶爾會收到用戶和開發人員關於此特定功能的疑問，因此本文將解釋備份功能的工作原理，以緩解任何安全或隱私問題。

我還想明確表示，用於加密 2FA 令牌的密碼不會存儲在我們的雲服務中的任何位置。這個密碼你一定要記住。忘記它，您就失去了解密 2FA 令牌的唯一方法。話雖如此，讓我們看看這個功能是如何工作的。

備份是可選的！

如果您不啟用備份，您的帳戶將僅存儲在您的手機內（就像大多數其他 2FA 應用程序一樣）。您無需將密鑰同步到 Authy 即可將手機用作第二因素。如果您不需要方便的備份，沒問題 — 只需禁用備份即可。

備份在上傳前已加密

讓我們直接說明我們如何處理加密。為了您的方便，Authy 可以在雲中存儲您的身份驗證器帳戶的加密副本。該帳戶在您的手機內進行加密/解密，因此 Authy 或與 Authy 關聯的任何人都無法訪問您的帳戶。

為了使備份跨設備兼容，所有Authy iOS、Android 和桌面應用程序都使用相同的加密/解密方法。（如果這篇文章的這一部分有點技術性，請向用戶道歉，但開發人員會理解的。）

Authy 密鑰備份的工作原理：

備份分幾個步驟執行：

• 我們要求您輸入密碼。密碼長度必須為 6 個字符，但我們建議您的目標長度至少為 8 個字符。
• 然後，您的密碼將被加鹽並通過名為 PBKDF2 的密鑰派生函數運行，PBKDF2 代表基於密碼的密鑰派生函數 2 。PBKDF2 是一種密鑰拉伸算法，用於對密碼進行哈希處理，從而降低暴力攻擊的效果。如何完成此操作的細節非常重要：
  • 我們使用安全哈希算法，它 是可用的最強哈希函數之一。它是一種單向函數——無法解密，並且是可用的最強大的哈希函數之一。
  • 我們使用1000發子彈。隨着低端 Android 手機處理器能力的增加，這個數字將會增加。
  • 我們在開始 1000 輪之前對密碼進行加鹽處理。
  • 鹽是使用安全隨機值生成的。
• 使用派生密鑰，每個身份驗證器密鑰均採用高級加密標準AES-256在密碼塊鏈接 (CBC)模式下進行加密，並為每個帳戶提供不同的初始化向量( IV)。為了使每條消息都是唯一的，必須在第一個塊中使用 IV。
  • 如果任何身份驗證器密鑰為 128 位或更少，我們將使用 PKCS#5 填充它們。
• 僅將加密結果、salt 和 IV 發送到 Authy。加密/解密密鑰永遠不會被傳輸。

恢復 Authy 密鑰：

如果您有新手機或正在添加新設備，您可以按照以下步驟恢復您的 Authy 密鑰：

• 首先在您的新設備上安裝 Authy。
• 接下來，使用 Authy 確認您是原始帳戶的所有者。您需要使用最初註冊 Authy 時使用的原始電話號碼和國家/地區代碼。
• 您將在另一台設備（短信或語音）上收到 OneCode 通知，並且需要在密鑰同步之前輸入該值。密鑰同步後，您必須提供備份密碼才能解密密鑰。
• 請注意，此新設備上的 Authy 密鑰使用不同的 TOTP 種子值，因此每個設備上提供的代碼將有所不同。
• 對於 Google Authenticator 密鑰，不幸的是情況並非如此，因為用於創建這些初始 TOTP 因素的 QR 碼是種子值，並且在所有同步設備上都是相同的。利用 Authy 作為 2FA 提供商的另一個原因。

大規模且日益常見的數據泄露事件基本上已經讓登錄憑據為公眾所知。在當今世界，電子郵件和密碼的配對根本不安全。雙因素身份驗證（例如 Authy 的免費 2FA 應用程序提供的那種）旨在防止任何人訪問您的在線帳戶，即使用戶名和密碼已被泄露。除了您的登錄信息之外，它還要求您在現實世界中訪問您的手機或設備，從而保護您的數字世界。不幸的是，這也可能意味着，如果您意外丟失、損壞或升級手機，並且沒有採取必要的預防措施來確保對 2FA 的訪問，您可能會被阻止。  

多設備是 Authy 應用程序的一項關鍵功能，允許用戶在多個設備上訪問其 2FA 令牌，從而有助於防止鎖定情況。藉助多設備，用戶可以在設備之間同步 2FA 令牌（例如第二部手機、平板電腦、筆記本電腦，甚至台式機），並有效地創建“備份”Authy 設備。多設備功能還可用於輕鬆地將令牌從一台“受信任”設備遷移到另一台設備，例如用新智能手機更換舊智能手機時，而無需在使用的每個地方單獨重新配置 2FA。只需按照以下步驟同步新設備，並記住在刪除舊設備之前取消對舊設備的授權。 

啟用多設備

從第二台設備訪問 Authy 2FA 只需幾分鐘即可完成設置。只需按照此分步指南進行操作即可。

1. 在您的主設備上打開 Authy 應用程序。點擊“設置”（右上角的齒輪圖標）。
2. 點擊“設備”。
3. 打開“允許多設備”。
4. 現在，在您的第二台設備上安裝 Authy。 
5. 安裝後，打開 Authy 應用程序。出現提示時，輸入主要設備的電話號碼。
6. 將出現一個彈出窗口，內容為“獲取帳戶驗證方式”。點擊“使用現有設備”。
7. 現在返回您的主要設備。將出現一條通知，要求您驗證新設備的添加。點擊“接受”。
8. 當提示您批准此決定時，請在輸入字段中鍵入“確定”。
9. 返回主設備上的“設置”，然後再次點擊“設備”。
10. 現在，您將看到兩個“可信”設備連接到您使用 Authy 啟用的任何當前（和未來）雙因素服務。

使用 Authy 保持額外安全

不要設置後忘記它：  為了防止添加任何其他（和未經授權的）設備，請確保返回並在兩台設備上禁用“允許多設備”。您始終可以從這些受信任的設備中返回並重複該過程。經驗法則：至少在兩台設備上安裝 Authy，然後禁用“允許多設備”。

本地加密：  使用 Authy，您的所有身份驗證令牌都在本地加密：Authy 的服務器上不會保留任何令牌。因此，即使 Authy 受到損害，所有單獨的令牌在您的設備上仍然是安全的。 

出售之前：  確保用於身份驗證的設備始終受密碼保護，如果您計劃更換或升級設備，請確保在出售舊設備之前在 Authy 帳戶設置中刪除該設備的訪問權限電話。