TOTP 与密码器 App
TOTP 是什么
TOTP 是一种一次性动态口令机制。
它的工作方式可以简单理解为:
- 后台给你一个密钥
- 身份验证器 App 把这个密钥保存到本地
- App 根据当前时间,每隔一段时间生成一个 6 位验证码
- 登录时输入这个验证码,系统就能确认你持有正确的设备
在 敲门 knock 里,TOTP 是管理员登录的基础凭据。
为什么第一次部署必须先配 TOTP
原因是:
- TOTP 是第一层真正可用的管理员登录凭据
- Passkey 是否可绑定,也是建立在已经有 TOTP 的前提上
- 外部账号登录也需要先绑定到某个 TOTP
换句话说:
先有 TOTP,后有 Passkey 和外部账号登录。
在 fknock 里如何绑定 TOTP
路径:认证配置
操作步骤:
- 点击
绑定新令牌 - 使用身份验证器 App 扫描二维码
- 输入 6 位验证码
- 验证通过后,为设备命名
- 保存
推荐命名方式:
我的 iPhone备用安卓机办公室手机
命名的意义不是装饰,而是为了你以后在多个设备之间区分。
推荐的备份策略
最低建议:
- 准备 1 台常用手机
- 再准备 1 个备用方案
备用方案可以是:
- 第二台手机
- 一台平板
- 明确做好迁移备份的身份验证器
不推荐只绑定一台主力手机后就完全不管,因为一旦手机丢失、换机或损坏,你会立即失去后台登录能力。
什么是“密码器 App”
这里说的“密码器”,更准确地说是“身份验证器 App”或“动态口令 App”。
它和传统密码管理器不完全是一回事。
这类 App 的主要工作是:
- 扫描二维码
- 保存 TOTP 密钥
- 生成 6 位动态验证码
常见身份验证器 App
下面这些都是比较常见、相对主流的选择:
| App | 平台 | 适合谁 | 备注 |
|---|---|---|---|
| 2FAS | iPhone / Android | 大多数普通用户 | 界面友好,迁移体验较好 |
| Aegis Authenticator | Android | 想要本地化、可导出备份的 Android 用户 | Android 上口碑很好 |
| Microsoft Authenticator | iPhone / Android | 已在用微软账号生态的用户 | 主流、容易上手 |
| Ente Auth | iPhone / Android / 桌面端 | 想跨设备同步的用户 | 适合多设备环境 |
| Google Authenticator | iPhone / Android | 追求极简的用户 | 主流、容易找到教程 |
怎么选一个适合自己的 App
如果你只是想尽快用起来
优先考虑:
2FASMicrosoft AuthenticatorGoogle Authenticator
如果你是 Android 用户,且很在意本地备份与可控性
优先考虑:
Aegis Authenticator
如果你有多台设备,想更方便迁移
优先考虑:
2FASEnte Auth
下载时要注意什么
请优先从:
- App Store
- Google Play
- 官方网站
下载,并确认发布者名称正确。
不要随便安装名字很像的第三方“Authenticator”“2FA”应用,尤其是那些要求订阅、广告很多、图标和官方很像的应用。
绑定完成后,建议立刻做的检查
- 确认 App 里已经出现对应条目
- 确认当前验证码能成功登录
- 确认设备名称是否写清楚
- 再决定是否继续给该 TOTP 绑定 Passkey
- 如有需要,再给该 TOTP 绑定外部账号登录
删除一个 TOTP 会怎样
删除某个 TOTP 后:
- 这个 TOTP 不能再用于登录
- 关联到它的 Passkey 也会一起失效
- 关联到它的外部账号绑定也会一起失效
所以删除前一定先确认:
- 还有没有其他可用 TOTP
- 你是不是误删了唯一的管理员凭据
常见问题
扫码后验证码一直不对
优先检查:
- 手机时间是否自动同步
- 是否扫错了二维码
- 是否把旧条目和新条目混用了
绑定成功后还要不要配 Passkey
建议配,但不要只剩 Passkey。
更稳妥的组合是:
TOTP作为基础凭据Passkey作为常用设备上的快捷登录方式
下一步建议阅读: