无需登录 数据私有 本地保存

2FA备份码生成并打印 - 卡片样式

20
0
0
0

2FA 备份码生成器

生成并打印双因素认证恢复码卡片 · 安全离线存储
安全提示:恢复码在浏览器本地生成,不会上传至任何服务器。请打印后存放在安全、离线的地方(如保险箱或加密文件夹)。每个恢复码仅可使用一次。

点击「生成备份码」按钮
即可在此看到可打印的卡片

常见问题与知识点

2FA恢复码(也称备份码)是一组预生成的一次性备用验证码,用于在您无法访问主要双因素认证设备(如手机丢失、更换设备、Authenticator应用数据丢失)时,仍能安全登录您的账户。通常每个平台会提供8-10个恢复码,每个码只能使用一次。Google、GitHub、Microsoft、Apple等主流平台都支持恢复码机制。

将恢复码打印为实体卡片是最安全的备份方式之一,原因如下:
离线存储:纸质卡片不连接互联网,无法被黑客远程窃取;
避免数据丢失:手机可能损坏、丢失或被恢复出厂设置,电子文件可能被误删;
物理隔离:将打印卡片存放在保险箱或安全抽屉中,与日常使用的电子设备完全隔离;
方便取用:在紧急情况下,纸质卡片比翻找加密文件更快捷。打印后建议沿虚线裁剪成独立卡片,方便携带或分散存放。

当您无法提供常规2FA验证(如TOTP验证码或短信验证码)时:
❶ 在登录页面输入用户名和密码;
❷ 当系统要求输入两步验证码时,选择"使用恢复码""尝试其他方式""使用备份码"
❸ 输入一个未使用的恢复码(注意大小写和格式);
❹ 登录成功后,该恢复码即被标记为已使用,下次需要使用另一个未使用的码。登录后建议尽快重新设置2FA并生成新的恢复码。

不可以。每个恢复码只能使用一次。一旦使用某个恢复码成功登录,该码立即失效。这是为了确保安全性——即使有人获得了已使用的恢复码,也无法再次利用它访问您的账户。建议在卡片上标记已使用的码(打印版本可手动打勾),并及时在账户设置中生成新的恢复码来补充。

两者都是2FA的备用验证方式,但有关键区别:
恢复码:离线静态凭证,不依赖任何设备或网络,但每个码只能用一次,用完需重新生成;
备用手机号:通过短信接收验证码,可重复使用,但依赖移动网络,且可能面临SIM卡劫持(SIM swapping)等安全风险。
最佳实践是同时设置两种备用方式,并将恢复码打印存放作为最后的保障手段。

推荐以下安全存储方案(按安全等级排序):
🔒 物理存储:打印后放入防火保险箱、银行保险柜或密封信封中;
🔒 加密数字存储:使用加密的密码管理器(如KeePassXC、Bitwarden)存储,主密码务必强且唯一;
🔒 分散存储:将恢复码分多份存放在不同地点,降低单点丢失风险;
⚠️ 绝对避免:不要将恢复码明文存储在手机备忘录、云端文档、邮件中,也不要拍照保存在相册中。

如果所有恢复码都不可用,且主要2FA设备也无法访问,您需要联系该平台的账户恢复支持团队。不同平台的处理流程不同:Google可能要求提供注册时使用的备用邮箱、注册日期等信息;GitHub可能要求SSH密钥验证或身份证明。恢复过程可能需要数天时间,且不保证一定成功。这就是为什么提前备份恢复码如此重要

非常安全,完全本地生成。本工具使用浏览器内置的 crypto.getRandomValues() API 生成密码学安全的随机数,所有恢复码均在您的设备本地生成,数据不会上传到任何服务器,不会通过网络传输,也不会被记录或存储。生成后刷新页面即会清除。您可以放心使用。如需更高安全性,建议在断网环境下生成并直接打印。

TOTP(Time-based One-Time Password,基于时间的一次性密码)是2FA中最常用的技术标准,Google Authenticator、Authy等应用都基于TOTP协议。它通过共享密钥+当前时间生成30秒变化一次的6位验证码。恢复码则是在TOTP不可用时的备用方案——它们绕过了TOTP的时间同步机制,提供静态的一次性凭证。两者配合使用构成了完整的双因素认证安全体系。

各平台恢复码格式略有不同:
Google:8个,每个8位纯数字(如 1234 5678);
GitHub:16位十六进制字符(如 a1b2c3d4e5f6g7h8);
Microsoft:25位字母数字,5组×5位(如 XXXXX-XXXXX-XXXXX-XXXXX-XXXXX);
Apple ID:格式类似Google,多个短数字码。
本工具支持自定义长度和字符类型,可适配不同平台的需求。
🔧 相关工具