最近上线了一个小工具:SafeCode 验证器。
它是一个微信小程序版的 TOTP 动态验证码工具,支持扫码导入、手动添加、复制验证码和加密备份。核心设计边界是:账号密钥仅保存在本机,不上传服务器。
微信搜一搜:SafeCode 验证器
AppID:wx1cd5476c0c665f17
为什么做这个工具?
我自己日常会频繁接触这些场景:
- GitHub / GitLab
- 云厂商控制台
- 域名和 DNS 后台
- 邮箱账号
- 数据库、堡垒机、运维系统
- 一些团队内部管理后台
这些账号基本都建议开启两步验证。开启之后,每次登录都要打开验证器拿 6 位动态码。
这个动作不复杂,但足够高频。工具如果打开慢、迁移麻烦、备份不清楚,就会变成一个长期摩擦。
所以我想做一个更轻的选择:在微信里直接用,不额外安装 App,同时把密钥保存边界说清楚。
TOTP 里真正敏感的是什么?
用户看到的是 6 位动态验证码,但真正敏感的是导入时的 secret 密钥。
当前显示的验证码通常几十秒后就会过期。只要没有被实时盗用,它本身的生命周期很短。但 secret 密钥不同,验证器正是依靠它持续生成验证码。
所以验证器工具的关键点是:
- 密钥保存在哪里?
- 是否会上传服务器?
- 是否支持备份?
- 备份是否加密?
- 换机恢复流程是否可控?
SafeCode 验证器当前选择本地离线保存密钥,不上传服务器。
功能范围
第一版功能保持克制:
- 扫码导入:扫描平台提供的 TOTP 二维码。
- 手动添加:适配没有二维码或需要手动录入 secret 的场景。
- 复制验证码:登录时快速复制当前验证码。
- 加密备份:换机前可以进行备份,降低丢失风险。
它不是企业级 IAM,也不做团队共享密钥,不做权限审计,不要求用户上传密钥给服务端。
适合谁用?
比较适合:
- 个人开发者
- 运维和安全从业者
- 站长、独立开发者
- 自媒体、电商和多平台账号用户
- 已经理解 2FA/TOTP 价值的工具用户
不太适合:
- 要求硬件密钥的高安全场景
- 需要团队权限管理的企业场景
- 需要审计、审批、集中管控的组织场景
想收集的反馈
这个工具刚上线,我现在最需要第一批真实用户反馈:
- 哪些平台的二维码导入正常?
- 哪些平台导入失败?
- 手动添加字段是否清楚?
- 验证码复制是否顺手?
- 加密备份和恢复流程是否符合预期?
- 是否需要分组、搜索、备注、排序等能力?
如果你日常也在用 TOTP,可以微信搜一搜 SafeCode 验证器 试试。
利益相关:这是我自己正在推广的小程序,欢迎理性拍砖。
