使用KeePass管理两步验证

文：铁乐与猫
2018-9-9

两步验证

不同的平台有不同的叫法，最早接触到这个安全概念是在2016年的时候。

当时管理公司阿里云上的服务器，做加强安全管理的工作时，

在阿里云控制平台上看到了虚拟MFA，其实就是做二次校验用的。

一般就是输入完正常的用户和密码后还需要再做一个动态的6位数字密码的验证：

而后来这种双因子验证方式我也广泛应用到wordpress登录验证及坚果云，小米，TeamViewer等账户上。

这种做法的确比较安全了。

两步验证的添加动态码一般就是拿手机上的Google Authenticator或阿里云出的身份宝，来扫描你设置开启二次验证的时候的二维码来生成帐号。生成后，你在手机上打开可看到动态的6位码，如图：

使用的时候是方便了，但是会存在一个问题。

就是这个方便添加6位动态码生成的账户的二维码（也可以使用密钥），备份起来不方便。

像阿里云服务器这种要共享给一个组的人添加后管理起来也麻烦。

另外最糟糕的情况是手机坏了，你就得重新到各大平台上重新设置两步验证了。

而且由于你登录之前还得填那个动态码，遗忘的情况下要填一次性验证码。

这样就造成了极大的折腾。

既然密码前面我们己经使用KeePass管理起来了，那么有没有可能，我们将这个两步验证的帐号也管理到KeePass中呢？

答案是可以的，而且还是很早之前，keePass就有了相关的插件了。

其实Google Authenticator做OTP验证实质上使用的是TOTP技术对密钥进行运算得到一次性密码。

KeePass本身支持hotp的一次性密码，而TOTP需要使用插件进行支持。

这个页面中有很多TOTP的插件，比如Tray TOTP，KeeOtp。

建议可使用Tray TOTP

还可以选择基于Tray TOTP的改进版本名为KeeTrayTOTP的插件。

主要改进的地方第一感觉就是Tray TOTP是分了好几次（至少三次）询问你填入所需内容，

而KeeTrayTOTP直观的在一个设置页面中就给你一次过填和选择上所需的选项了。

从https://github.com/victor-rds/KeeTrayTOTP/releases下载 KeeTrayTOTP.plgx后放到KeePass的程序目录，重启KeePass即会自动编译提供使用。

此插件是在TrayTOTP的基础上改进的，掌握了它的使用方法也等于是会使用TrayTOTP了。

谨慎的人可以选择在keepass的官网插件页面上下载TrayTOTP来使用，牺牲了一些便利，但安全更加得到保障。

使用方法：

在需要添加两步验证的记录上右键-【选择记录】-【Setup TOTP】，如图所示：
弹出的窗口中输入：
- 初次创建二次验证时网站或应用提供的密钥（所以以前就创建好但没有保存好密钥的就要麻烦点重新生成两步验证了。）
- 设置好验证码生效（动态生成）的时间，一般为30秒
- 还有6位还是8位的动态码（一般为6位）
- 最后一个修正时间的服务器URL可以留空不用填
最后点击Finish按钮就完成设置两步验证了。
一次性验证码：

二次验证有一个一次性验证码的功能，一般是无法正常获取到动态码（例如最惨的是手机丢了或格式化了）的时候使用来登录以便重新生成二次验证的。

在安装了TOTP的记录上右键Copy TOTP即可获取一次性验证码到剪贴板：