备用码生成器 · 两步验证恢复码

真实使用场景

• 给没有恢复流程的自建服务补一套备用码

  你刚在某个自建应用(Vaultwarden、Gitea、家里的 NAS)上开了 TOTP, 它给了密钥却从不提供可下载的备用码。在这里按 GitHub 样式生成十组 码,若应用本身有恢复码列表就粘进去,没有就直接打印存好当手动后备。 一旦验证器 app 被清掉,这张打印的码单就是你和被锁死的管理员账号 之间唯一的依靠。

• 给团队发一张可打印的破窗码单

  一个小运维团队共用几个挂着 2FA 的关键账号。生成一张码单,打印出来 封进信封,放进办公室保险箱,当值班手机联系不上时就走这条破窗路径。 每组码只用一次,所以谁拆了信封、用掉一组码,团队就知道该重新生成、 重新封存。「标记已用」开关让手上这份始终如实。

• 出发去没信号的地方前先备好恢复码

  要去信号差的地方,或者准备换境外 SIM 卡之前,短信和推送可能都到不了 你手上。生成一张纯数字的短码单,打印件在昏暗光线下也好认,把它跟手机 分开放进钱包,网络在最糟的时刻掉线时,你照样有办法过 2FA 这一关。

• 在安全培训里讲两步验证恢复

  带新人入职或做安全意识培训时,你想让每位参加者亲眼看看真正的备用码 长什么样、练习一下怎么保管,又不去碰任何人的真实账号。把 Google 的 8 位数字样式和 GitHub 的分段样式并排生成几张样例发下去,讲清每一份 该放在哪。东西不出这个房间,因为东西不出浏览器。

常见踩坑

• 把唯一一份明文存在装着密码管理器的同一台设备上。这样一次入侵就同时拿走两重因素。把码单打印出来,或放进加密保险库条目里,再在物理上分开的地方留第二份。

• 重复使用已经用掉的码。备用码是一次性的,真正的服务方在你第一次兑换时就把那组标记为已用,上个月还能用的码这次会直接被拒。用掉就点「标记已用」,只剩一两组时就重新生成。

• 把这里的码当成服务方自带列表的替代。工具只负责造出格式正确的随机码,账号要真正受保护,得让对应的码在真实服务上登记生效。先生成,再按那家服务的要求去录入或保存。

隐私说明