GitHub 启用了 TOTP，国内有没有硬件级密码器可以买得到？

為什麼不用手機，手機硬體你可以海淘美版韓版台版. 手機你可自己寫 APP. 這樣軟硬你都可以放心了吧.

totp 的算法不是公开的吗？

@shyangs 最后一段写了，已经用着手机。

至于“放心”，其实我是对手机电池和手机屏幕不放心。
因为曾经碎过屏幕（被电动车撞飞，于是发帖“声讨”过 /t/962432 ，但当时没提到手机摔坏），也曾经遇到过手机充电故障被迫换手机的情形（当时的询问贴 /t/852256 ）。

有个硬件级 token 可以使我安心许多

Microsoft Authenticator 软件解决不好么

@PerFectTime 算法是公开，但我又不是硬件制造商，也没有硬件制造基础知识，让我动手弄一个硬件 token 实在是……不太现实

@swulling 不怎么好，原因见 3L

如果要硬件，可以 M5Stack StickC ESP32-PICO Mini

自己开发一个，有现成的 esp32 的库。七八十块钱。

@cnbatch 支持 icloud 备份，换手机可以自动恢复。

一个 512MB 内存的 android 手机装个 FreeOTP 就可以了， 不要连接网络
和硬件级别的一样

@swulling 收藏了，实在找不到的时候考虑用作最后方案，唯一不确定的是续航

毕竟硬件 token 续航时间极长，可以长达 2~5 年不充电不换电池

Yubikey

哈哈哈 这说的不就是网易 10 年前的将军令吗？

找网银 U 盾和网易将军令的制造厂商

实体将军令都淘汰了 用网易将军令 App 代替 你这还要开倒车

担心续航又信不过软件，那当然是 YubiKey 之类的 U2F 啦，为什么要用过时的 TOTP ？
U2F 对 TOTP 最大的优势就是有针对域名的 anti-phishing.
TOTP 如果你连同密码在钓鱼域名输入了，就 game over 了。
U2F 会配合浏览器取得当前请求你 U2F Token 的域名，针对域名签名，域名不对钓鱼也没用。
要用对的域名让你上错的网站，得先给你弄个 SSL CA 在本机，门槛太高了。

U2F 防止损坏主要靠异地容灾，一次性买 4 个，把你常用的网站能用 U2F 的都绑上，然后随身一个，自家一个，银行保险柜一个，父母家一个。如果有 iCloud ，对部分网站还能开个 iCloud Passkey 。

@790002517zzy 我不认为是倒车，原因已经在 3L 讲过了

@cnbatch 其实 App 也可以解决你的问题 网易将军令我用了七八年了 换了很多台手机 账号也没丢

@cnbatch 而且梦幻西游是最不容易盗号的游戏 就是因为有网易将军令

网易将军令是用手机号作为唯一凭证

感觉硬件 TOTP 的主要问题是对时。手机可以联网或者从基站获取精确时间，如何保证硬件 TOTP 时间不漂得太远？

15L 说的 YubiKey 不可以吗，挺有名的吧

TOTP 实际上是用一串字符串(secret key) 算时间戳，你可以把那串字符串打印出来保存

Yubikey 不就行，也带 TOTP ，随便找一个能安装 yubico authenticator 的设备就可以存取 code ，也可以用 U2F ，完全符合你的要求，而且这玩意挺耐造不需要充电，防止彻底丢了，把 recovery codes 打印出来不就完事了。

国内如果担心不好买 yubikey 的话， 推荐看一下清华大学 TUNA 协会出的开源硬件密钥 Canokey ， 功能没 yubikey 多，胜在开源和便宜。

顺带说下，yubikey 硬件不是开源的哦

canokey 可以的，我有一个，不过用来给 git 签名和服务器 ssh 验证比较多

@790002517zzy 我现在用的就是 2FA 的 App ，硬伤还是存在——就是手机本身（屏幕和电池）

这就是为什么我不愿用手机的原因，已经有过两次惨痛经历，实在不想再经历第三次

@JustBecause yubikey 除了需要插 USB 这一步比较消耗时间（我家用的是台式机，放在桌子底下，要弯腰蹲下伸头探到主机尾部再插 USB ），还确实挺完美的

@infinet 这应该需要看硬件制造商的技术水平了，或者自带 USB 接口允许用户随时同步时间也说不定？

@zbinlin 我还真的这么做了😆

然后觉得这样好像有点随意了，差不多等于把密码写在白纸上贴到墙壁

有个硬件 token 也许差不多，起码会……安心一点吧

yubukey ，已经用了快一年
至于你说的 usb 要弯腰的问题，建议买个拓展坞，毕竟也要插 u 盘之类的吧。。。

开启 TOTP 时让你扫描得那张二维码,你随便找一款开源离线扫码器,解析出字符串,备份这个字符串就行了

只要有这个字符串,你随时随地可以在任何验证器 APP 上重新恢复这个 2FA 实例,因为标准和算法是统一地

你非得执着于一个`硬件`干啥

甚至你都不需要解析,直接顺手截图,备份这个二维码图片就行了

@Deplay 原本有两个 USB 扩展 hub 的，都被我的可乐泡坏了（个人坏习惯，在电脑前喝可乐，试过几次不小心碰翻），然后就懒得买…

Canokey?

yubikey

@YGHMXFAL 二维码我也已经保存下来了，就如同前面打印字符串一样

总的来说用起来还是硬件简单，按个按钮就能跳验证码，不需要鼠标点来点去，也不用手机按来按去

@YGHMXFAL #32 同意，

建议把 TOTP 字符串记录下来，手写、云端、本地多地备份，异地容灾。

把 key 拿到打印出来，标准算法的重新导入就完事了呀😢

@cnbatch #37

（自建个） Bitwarden ，点一下鼠标就能获取 TOTP 了

如无必要，勿增实体

1password 也行，扩展装 beta 版本。

说实话完全没必要,而且你也不可能买到这种设备
手机备份一个, 电脑也可以记录一个例如 https://del-xiong.github.io/web-2fa/?code=yourcodehere
如果不放心也可以用密码软件自动记录
如果你手机电脑的都出问题了,那你应该担心的也不是 TOTP 了

yubikey 我记得可以存 TOTP 的，手机上装个软件就行。

@rei4 #25 那个下架了

CanoKey

@cnbatch usb 延长线了解下

Passkey 可以用起来了。

yubikey ，可惜了，没有 5 刀的车了

bitwarden 买会员或者自建服务器都支持 TOTP ，几乎支持所有设备

我感觉楼主的方案都太折腾了，使用 KeepassXC 的实际体验是这样的：


一键填写

i 。。。iPhone

信不过软件可以在多个设备上搞嘛

https://chrome.google.com/webstore/detail/authenticator/bhghoamapcdpbohphigoooaddinpkbai 存浏览器里不就行了

stm32 板子 + LCD 数字液晶屏幕就完了吧

TOTP ，每个网站的初始秘钥都不一样。那么你要么每个网站都买一个设备，要么这个设备得支持查看不同网站的码。
那么你就有两种选择，一是硬件上做上按钮加显示屏，每次要用的时候按钮找到要登录的网站，然后让他输入。
另一种是用 App ，在 App 里选择或者匹配网站，连接到硬件秘钥取码。

前者成本高，用起来困难（假设你 key 插在显示器或者笔记本上，每次用还要凑上去摁啊摁），后者的话和软件实现的 TOTP 又有多大区别呢，总要装 App 。

google Authenticator

现在 GitHub 也支持 passkey 了，我选择把 passkey 添加到手机，登录的时候扫一扫就可以了。

@cnbatch #3 手机+离线的密码管理器 不就是硬件吗？直接用淘汰的手机放家里就行

我用的 1password+YubiKey nfc 。YubiKey 直接 passkey 或者硬件令牌，存 totp 倒是不怎么用。然后就是多整几个不怕损坏、丢失。YubiKey 能设置 pin 来避免插上就能用。

@mercurylanded 不行，我不但用 Chome ，也用 Firefox 的。有时还会在虚拟机内登录 GitHub ，而虚拟机的浏览器不安装任何插件。

YUBIKEY 现在都是 FIDO 2 协议了，不推荐 TOTP 了，最新的是 PASSKEY 技术，支持手机和硬件密钥，
国内主要是 飞天诚信 在做，他们美国公司给谷歌代工的部分泰坦密钥.

建议云存储，个人的任何存储都可能遇到意外，如果没有容灾备份，丢了就真丢了
iCloud 钥匙串 / bitwarden / 1password 等密码管理工具都能存 totp

@msg7086 感谢提醒，目前我就只有 GitHub 启用了 TOTP 的 2FA ，其它网站暂时还没使用到。所以成本也不算高。
如果以后连同其它网站都有用到，那就陆续慢慢买硬件 token 也没关系。

我打算到时候找一块板条，把这些硬件密码器贴上去，一来方便使用，二来还可以当作装饰品

@mdn 有容灾备份，我连密钥和二维码都打印出来的

@cnbatch #65 👍，二维码其实不用打印，二维码 === 密钥，打印一个就行，最好是密钥，打印的东西久了不知道会不会模糊不清，密钥文字模糊了还能大概猜下

@cnbatch #65 发生一些突发的灾害时（地震、火灾 等），放家里的硬件还是比较危险

现在手机是这样的，我现在做很多事情都绕不开手机，我都不确定我手机坏了之后还有没有能力自己下单买个新手机

@mdn 打印不靠谱，容易丢且火烧一下就完蛋，建议学三体，捡块石头，刻上去

@mdn 已经考虑到这一点了，顺手在 onedrive 存了一份

简单用了一下，有个问题，从服务器上下载了文件在下载列表不能打开文件，也不能跳转到目标文件夹，下载的时候也没让我选择文件夹，下载这块功能可能要重新考虑下

@sss15 回复错帖子了~~~

yubikey

@cnbatch #70 真需要这么多备份吗？后面会不会忘记那儿有备份文件？我是嫌麻烦 TOTP 和 recovery-codes 直接扔自建 bitwarden ，12 小时备份一次 bitwarden 数据库

TOTP 2FA 又不是没 PC 的解决方案。
你只是担心硬件损坏而不是泄漏被还原的问题，为什么要考虑非要硬件载体？而且一个手机不行大不了多买几个备用机呗，又不会比专用硬件贵。
而且说实话如果不是自己手搓的，我反而不大信任一般的硬件。瑞士在这块名气大是因为隐私保护法完善，可不表示技术实现一定靠谱。Crypto AG 也是瑞士的吧，被 CIA 窃听几年了……

@mdn 那倒没那么容易忘记，这些文件夹还存放着我家软路由的配置备份，也就是说那是专门设置的备份目录

@FrankHB 为什么不能非要硬件载体？我喜欢。

手机无论有多少备用机，我总会忘记充电。更何况手机体积远比硬件机 token 大得多，再来几台手机那简直使我感到十分反感。

至于信不信任，我自己觉得信任就行了（反正又不是你用）。至于 CIA 什么的，我可不认为我有什么值得被外国机构视奸的价值，更何况硬件密码器是离线使用的。
还有，我在原文提到“瑞士”单纯是因为我就只找到有瑞士企业，没找到有其他境外国家有企业在做这件事，包括但不限于英国、德国、法国、爱尔兰、意大利、奥地利、希腊（等一众欧盟国家）、美国、加拿大、墨西哥、巴西、智利、巴拉圭（等一众美洲国家）、日本、韩国、越南、泰国、印度、新加坡、马来西亚（等一众亚洲国家）、非洲各国家。

不要以为我是专门为了“瑞士”名头而专门选择。

就是一个带上密码和时间戳的哈希算法，不超过 20 行代码，被你们搞的那么复杂。

我都是随手写一个工具来查看。

@THESDZ #78 备份: https://github.com/ttionya/vaultwarden-backup

up 那所谓的不用手机的理由，就好比........，好吧，实在想不出什么合适的类比，没电了可以充电，屏幕碎了可以修一下，装个可以同步 token 的 app ，手机坏了的时候临时通过其他设备查看一下，等等之类，硬要把钻窄胡同认为是一种牛逼，实在想不通一般场景下有什么必须、立刻、马上、一分钟都等不了的要 otp 的需求

@ShuWei 手机没电要去充电，原本是为了方便自己结果一个没电耽误了几分钟（插充电器充电，然后去找备用方案生成密码），说实话我一点都不喜欢这样。
屏幕碎了要去修，真以为不需要钱不需要时间？我觉得你一定没遇到过手机碎屏的状况，而我真实遇到过，还为此付出了几百元现金，外加两天半的旧手机无法使用的麻烦。我也很不喜欢这样。
然后就像我前面说过的，弄那么多手机太占地方了，硬件密码器的体积远远远远小于手机。我同样很不喜欢为了看个密码就放着一堆大砖头。

你想不通需求没什么奇怪的，因为这单纯就是“我喜欢”，不能立即能够拿到 otp 时我很不爽。就这么简单。

@cnbatch #3 你手机坏了不会换手机吗？社交软件也在手机里，你咋不用飞鸽传书呢？

硬件也存在坏的风险呀

@zbowen66 屏幕碎掉期间我被迫使用备用机，社交软件没法用，不过我可无所谓，反正电话号码能打。
然而换手机这个过程很耽误时间，我不爽。你咋非要杠飞鸽传书这么不友好。

@x86 没关系，硬件密码器体积那么小，多弄一个也不占很多地方

谷歌有一个 rust 开发的开源固件, 使用 nrf 系列的设备可以支持, 不缺钱就直接买 yubico.

@tool2d 有道理，电脑上按一下立即跳出验证码，比起各种大而全的软件快捷多了

如果最后买不到硬件密码器的话，我决定就用你的办法

@cnbatch 找到购买途径了吗

我用的 FreeOTP ，然后备份加密后丢网盘。

话说 YubiKey 这类东西如果坏了或丢了咋整....:D

杞人忧天。字符串保存好做好备份就行。一个设备担心损坏和没电，多个设备就行了，实在不行就买个专门的硬件，可硬件也要电或者插入设备啊，不会坏和没电吗，是不是另一套担心也来了。话说，楼主整天输这种验证码 N 次吗？

@laydown 我都已经重复说了很多次了，多个设备的缺点，无异于砖头，砖头，砖头

所以我才想买专门的硬件（标题就说了），所以问题就是，哪里买

不需要插设备，有电就行（比如内置纽扣电池），坏掉也没关系，硬件密码器体积远比手机小可以多弄几个（这一段，我也重复说过好几次了）

我需要输入几次并不是重点，重点在于我喜欢一按即来，哪怕频率低到只有一年一次。单纯的个人喜好。

@cnbatch #82 你喜欢，一定是你对。不过，作为程序员，随便就允许手机没电，而且没有备用的手机或电脑，这也是挺迷的，所以我还是坚持我之前表达的观点，请勿再回贴讨论，没意义。

@HFX3389 应该可以多弄几个吧？
因为这些小物件在我家很有可能会不小心泡了次可乐澡😅

@ShuWei 我当然不会允许手机没电，但也很不愿意使用次数不可测的行为依附于专用的手机，因为这样会导致手机要么长时间插电，要么搞个定时插座（这更加麻烦，增加一堆砖头）。

至于依赖自己的手机，还是不爽，为了看个验证码我居然还得解锁手机点开 App 才能看得到，太麻烦了。我喜欢桌面上有个按钮一按就出来。

备用手机和电脑当然有，我只是不爽因此而造成时间拖延而已。

为啥国内没有？因为连在 V2 这种开发/运维人员密度很高的社区里都会有很多 V 友针对你喜欢 TOTP 硬件而不喜欢手机的执念劈头盖脸教育你矫情……可见对个人用户来说这玩意真的不符合天朝国情。

@2218675712 国内是没找到

国外有在售产品的那家，通过海淘应该能运进来，但也不那么可靠，被海关抽到那就等于打水漂了

所以还是学点单片机自己做吧。我记得不久之前看 V 友用 ESP32-C3 自己做了个硬件的 SSH key agent 设备。