现在许多网站都要求强密码，2FA 甚至 n-FA （ n factor authentication)。
但是我一直觉得这其实就是安全责任转嫁：
在用了这些措施之后，账号安全性就大大提升了，但是我自己登不上自己的号的概率也大大增加了。

我不可能记住所有的强密码，甚至 2FA recovery code 都不是我自己能设置的
我只能把强密码/2FA code 保存在某个地方
保存在的这个地方也需要一个密码来保护，只要这个密码对应的关卡以某种形式陷入不安全，甚至保存这些密码的地方不安全，那么上面做的所有事情都是徒劳。
如果我不把这些 code 记在某个地方，如果我手机丢了/换手机忘记迁移/等等情况发生，我立刻就登不上我的所有帐号了。

我自己的解决方案就是放弃保护这些强密码/2fa code 。我现在全部都放在 yuque/网盘/qq 微信的收藏里面，反正我自己的信息也不值钱没人要。
不知道 v 站老哥们怎么看这件事。

2FA 装个谷歌身份验证器不就好了

就像楼上说的，你自己装 google 或者微软验证器就行。

你要不信 google 和微软，你也可以自己搭建在你家路由器上，另外用得着保存 2fa 密码吗？直接备份你所有就行，加起来文件也就几百 k 。

安全都是相对的，你的信息不值钱，MFA 就是没用的

自建 VaultWarden ，能上两步验证&passkey 的全上，银行卡之类的各种信息也都能塞进去。还可以建立组织，和对象共享一部分账户。分享加密文件之类的也能在 app 内操作。

风险仅在于你的密码库能否被找到(局域网内或公网上的)，并且找到后能否被破解。

整理好之后用起来会非常舒服，浏览器&手机自带管理器里存的全都可以删掉了。

怎么说呢，正是因为你能记住，所以密码太简单了。要一个你记不住的复杂的密码。

也可以用个支持 TOTP 的密码管理器。
比如 KeePassXC，给数据库设置密码保护。
注意别忘了密码就好，否则几乎没有办法找回。

keepass 用 密钥文件 + 密码；即使泄露了密码，没有密钥文件也无法打开
密钥文件可以是一张普通的照片，随便放哪都可以

目前大部分的 2FA 都可以用邮箱、手机号解除，密码保管类软件也可以存储。
纯手机号登录倒是方便了，别人捡到也方便登录账户（不管有没有价值，反正挺恶心）。

无密码登录，但是除了大厂用根本推广不开啊

国内的短信验证码登录和微信扫码登录应该是最适合你了。

我用的是 KeePass ，这个 KeePassXC 和 KeePass 有啥大的区别吗？

docker compose 起个 2FAuth ，Github 有项目，我一直在用。

如果你的数据真的那么重要，又害怕失去密码和 2FA Token 导致自己登录不上，那就同时使用多种方式备份就好了。除非所有方式的备份都被你丢失了，否则总能恢复。

比如云端备份强密码数据库和 2FA Token ，但是存在云端的之前使用端到端加密，而端到端加密的密码使用的记录在纸条上。如果害怕纸条丢失，多复印几份贴在电脑上、硬盘上就好。

如果还害怕丢失，再把强密码数据库和 2FA Token 离线备份一份到移动硬盘里。

除非有人能物理接触这些东西，否则也盗不了你数据。

用密码管理器不就行了，我用 Bitwarden 官方的服务，2FA 多设几个 YubiKey ，只用记个主密码。担心云服务不稳定的话，再导出刻盘找个安全的地方放着。

防撞库用

恢复代码用 gpg 加密然后把私钥和加密文件都用 7z 强加密存在网盘上，安全性和便携性皆有

自建 bitwarden 解君愁

差别不大，keepass 是官方自己的，keepassxc 是第三方的。

Why KeePassXC instead of KeePass?
KeePass is a very proven and feature-rich password manager and there is nothing fundamentally wrong with it. However, it is written in C＃ and therefore requires Microsoft's .NET platform. On systems other than Windows, you can run KeePass using the Mono runtime libraries, but you won't get the native look and feel which you are used to.

KeePassXC, on the other hand, is developed in C++ and runs natively on Linux, macOS and Windows giving you the best-possible platform integration.

自建 vaultwarden ，2FA 还有各种密码都丢里面.也没啥难的啊？现在我几乎所有注册需要密码的地方都用它来生成复杂密码。基本上绝大部分密码是什么我自己也不知道了。

＃7 +1