如何使用第三方 OTP 应用设置 Google 2FA

Question 1

有二“智能手机上的 Google 特定应用”的选择 - 一个使用在线通知（Google Prompt），另一个使用离线 OTP（Google Authenticator）。

Google 支持基于 OTP 的 2FA，名称为“身份验证器应用“。它使用 OATH TOTP 标准——与最多其他 OTP 应用程序使用，具有标准参数（6 位数字，30 秒间隔）。

作为注册过程的一部分，您将看到一个直接包含 TOTP 共享密钥的二维码。您可以使用任何现有的 OTP 应用程序扫描它（桌面应用程序也应该能够“扫描”屏幕截图）。

在同一步骤中，您还可以单击“无法扫描？”并以纯文本形式显示相同的 TOTP 种子。您可以将其复制并粘贴到桌面 OTP 应用程序中，也可以将其写在纸上以作为备份保存。

该应用无需与 Google 通信。但是，设备的钟需要准确（官方的 Google 应用程序会使用在线时间服务器自动补偿错误的时钟，但在其他应用程序中，您需要自己处理）。

当询问您的手机类型时，无论您选择“iOS”还是“Android”都没有关系 - 无论哪种方式您都会得到相同的流程。

（如果“无法扫描？”选项丢失，也可以使用通用二维码解码器扫描二维码，这将以纯文本形式显示 TOTP 种子。二维码的内容使用格式otpauth://totp/GitHub:someuser?secret=ABCDEF&issuer=GitHub，用户名和发行者仅供显示。）

关于硬件令牌——是的，有浏览器扩展可以模拟 WebAuthn 或 U2F 令牌，但其中许多似乎已被废弃，而且它们可能不一定安全。（它们也有可能突然不再起作用，因此如果您使用它们，请确保有 TOTP 作为备份。）

在 Linux 上你还可以使用以下软件rust-u2f模拟硬件 U2F 令牌在操作系统级别– 它可以与任何网站和任何网络浏览器配合使用，因为它被视为实际连接的 HID 设备。不过，它比真正的硬件令牌更脆弱，我不确定我是否会走得更远推荐使用它。

最后，让操作系统提供基于软件的“平台令牌”实际上是较新的 WebAuthn 规范的一部分。Windows 10 以“Windows Hello”名称实现它（所有主流浏览器均支持），而 Apple 刚刚在 macOS Monterey 中添加了类似的“iCloud Passkey”功能。

不幸的是，谷歌不支持“平台”令牌，只支持硬件令牌——我不确定这是故意的，还是因为他们使用的是较旧的 U2F API 而不是 WebAuthn。（但是，rust-u2f 仍然可以工作，因为它模拟的是硬件令牌，而不是平台令牌。）

Answer