1password才是使用谷歌兩步驗證的正確姿勢

進入幣市第一步就是註冊交易所賬戶，你會發現大家都強烈建議開啟「谷歌兩步驗證」。

開啟谷歌兩步驗證確實大大提高了安全性。通常你設好了密碼之後不會再改了，一成不變的密碼有被暴力破解的風險。如果你在很多網站都用了同樣的密碼，只要其中一個網站被黑，你的密碼就危險了。而谷歌驗證碼每半分鐘會換一個，黑客要想同時破解密碼和谷歌驗證碼，難度就大大增加了。除了交易所之外，還有其它一些對安全性要求較高的網路服務也支持谷歌兩步驗證。

一般的教程都會教你在手機上裝一個叫Google Authenticator（谷歌身份驗證器）的App，通過它來使用谷歌兩步驗證。如果你還沒有使用谷歌兩步驗證的經驗，請忽略這個Google Authenticator App，直接往下看。如果你已經在用Google Authenticator了，那麼你一定有以下困擾：

• 萬一手機丟了或壞了，或者手賤卸載了Google Authenticator，怎麼辦？只能聯繫交易所給你重置，但是，本來谷歌兩步驗證就是用來驗明正身的，現在弄丟了，你拿什麼向交易所證明是你本人呢？想想就知道會非常麻煩，肯定要提供各種證件各種證明，走各種手續。

• 用這玩意兒登錄交易所太麻煩了啊！尤其是搬磚黨，通常會註冊一堆交易所，在Google Authenticator上估計要顯示好幾頁的驗證碼，每次登錄都要打開手機在好幾頁驗證碼中找出當前這個網站的驗證碼，然後抄寫上去，等到登錄進去了估計搬磚機會都沒了。

有什麼更好的辦法嗎？有的。下面有請登錄神器1password?

1password是一個很方便的密碼管理軟體，你可以把所有網站或App的密碼都加密存儲在1password里，然後你只需要記住一個主密碼，其它密碼都不用記了，用主密碼可以解密和提取所有其它密碼。你還可以在Mac、iOS、Windows、Android等各種電腦和移動設備間同步數據，通過主密碼在所有的設備上都可以提取各網站或App的密碼。

• 手機丟了怎麼辦？1password可以在多設備間同步，你總不能同時弄丟所有手機、電腦、Pad吧。

• 登錄交易所太麻煩了啊！使用1password，按兩下快捷鍵即可登入交易所，利索得很。

我們一步一步來。首先在1password中創建一條登錄信息，在username和password欄位填寫你在該網站的用戶名和密碼。

如果你先前已經創建過了，那就進入這條登錄信息的編輯界面，在下面新添一個自定義欄位，點那個「小圓圈裡三個點」的按鈕，選One-Time Password作為欄位類型：

這時在新添欄位的右邊出現一個二維碼按鈕：

點那個二維碼按鈕，在屏慕上出現一個半透明的掃碼窗口。拖曳掃碼區域，對準交易網站上的谷歌兩步驗證二維碼，就能掃上了。

如下圖所示，再往左邊拖一點就能掃上了。掃上了窗口就消失了，我就截不了圖了，所以特意在沒對準的時候截張圖。

這時你再看那個新添欄位的值，是以「otpauth://」開頭的類似鏈接地址的東西，地址的末尾正是網站頁面上所說的「秘鑰」——C2U646PLAZUYM7BO，如下圖所示：

這個otpauth地址就是從二維碼中讀出的全部信息。1password其實就是保存了這個信息，並在你的各電腦和移動設備之間同步，然後你就可以在你的任意設備上的1password應用中顯示谷歌驗證碼了。

這個otpauth地址中最關鍵的部分就是那串秘鑰。谷歌驗證碼看起來是每半分鐘換一個，好像是隨機數，其實一點都不隨機，完全是由「秘鑰」和「某年月日時分秒」這兩個信息合在一起計算出來的。所以知道了秘鑰就知道任意時刻應該顯示什麼驗證碼。可見秘鑰也是一個需要絕對保密的信息。好在秘鑰比你的登錄密碼的強度高得多（你要是用這樣的登錄密碼根本記不住啊），不那麼容易暴力破解的。

繼續剛才的步驟，把這條1password登錄信息保存之後，就可以看到谷歌驗證碼了。如下圖所示，圓圈裡的數字1表示當前驗證碼還有一秒鐘就要過期了：

趕在驗證碼過期之前把它填到網站的設置頁面上並提交，就開啟了谷歌兩步驗證，大功告成！

然後，試試退出並重新登錄吧。

先不要急著輸入用戶名密碼。有的網站登錄界面要求填圖片驗證碼，那就先填圖片驗證碼；有的網站登錄界面需要勾選「我不是機器人」，那就先勾選。然後回到用戶名的輸入框，按下「-」（Windows系統是Ctrl-）快捷鍵，就會自動幫你填好用戶名和密碼並登錄。

這時神奇的事情發生了！你會發現屏幕右上角出現一個提示，說已經自動幫你把谷歌驗證碼複製到剪貼板了：

於是，在接下來的頁面中，你直接按「-V」（Windows系統是Ctrl-V）快捷鍵把驗證碼粘貼進去就行了，根本不用看驗證碼是什麼，也不用手動抄寫。

注意要儘快粘貼進去，1password會在片刻之後清除剪貼板中的驗證碼，如果手慢了沒來及粘貼進去，就打開1password去看看那條登錄信息里現在的驗證碼是什麼，再複製粘貼。

想想用Google Authenticator做這一步得有多麻煩吧：

1) 如果手機不在身邊，先去找手機

2) 找到手機，打開Google Authenticator App，翻動屏幕找當前網站的驗證碼

3) 由於無法從手機複製粘貼到電腦上，只能自己抄寫

是不是已經有卸載Google Authenticator的衝動了？且慢！卸載了Google Authenticator跟弄丟了手機是一樣的，先前存的那些谷歌兩步驗證就丟失了！

所以，在卸載Google Authenticator之前一定要做一件事：到每一個開啟了谷歌兩步驗證的網站上，找到在哪裡關閉谷歌兩步驗證，通常網站會要求你輸入當前的谷歌驗證碼，驗明正身，就可以幫你關閉谷歌兩步驗證了。然後你再重新開啟谷歌兩步驗證，網站會給你一個新的二維碼和秘鑰，但這次不用Google Authenticator掃碼，而是用1password掃碼。

注意一個坑：有的交易所在關閉谷歌驗證碼後會有一些安全限制，比如幣安規定關閉谷歌驗證碼後24小時內不能提幣。所以不要在忙著搬磚時干這個，找個閑得蛋疼的時間再干吧。

所有的谷歌兩步驗證全都換過一遍之後就可以放心卸載Google Authenticator了。以後再也不用擔心弄丟谷歌兩步驗證了，而且獲得了火箭般的登錄速度，不錯過任何搬磚機會！1password軟體是要花錢買，但這點錢搬一趟磚就回來了

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！