2要素认证，fob管理

Question

我喜欢2因素认证的想法，但是如何才能确保没有这样的密钥我就不会陷入困境呢？我曾想过，为了支持它的服务，我可以切换到fob。是否有一个我可以信任的fob，可以为钥匙提供一个微小的显示？(比如谷歌或奥西，但没有手机)

我问这个问题是因为我愚蠢地重新设置我的手机，没有三次检查，没有任何东西需要恢复，以修复我的软件问题。我完全忘了我已经设置了“多设备”在奥西的残疾，现在我必须等待他们重新设置我的访问。我想尝试使我很难不小心失去了两个因素的访问。

Answer 1

当您使用时，您可以将代码扫描到多个设备(iOS或Android)。这样，一个设备的丢失不会把你锁在门外，因为你总是可以回到原来的状态。就我个人而言，我把它们存储在一部我不再使用的旧Android手机上。

所有服务“应该”允许您注册多个yubikey每个帐户，特别是因为这个原因。当您将其用作2FA设备时，您应该始终拥有一个备用的yubikey，否则，当您将其用作2FA设备时，您将被迫进行冗长的帐户恢复过程。

一旦你失去了第二个因素，你就会担心自己无法进入你的账户，这是正确的。但是您应该有多个设备来物理地存储第二个因素，以避免出现这种情况。

另一个答案提到，我忘记了恢复代码。这些是不依赖于时间的特殊2FA码，可用于设备丢失的情况。这些代码通常是打印出来的，或者存储在其他地方-不要丢失它们！

Answer 2

对于那些允许您使用诸如Google身份验证器之类的应用程序的服务，通常有一个选项可以手动输入显示的字母数字代码，而不是扫描QR代码。如果您对此代码进行记录并安全地存储它，您可以使用该代码注册一个新设备。

之前，我忘记了在擦旧手机之前暂时禁用2fa，并且测试了Google认证器的手动注册过程，到目前为止，它一直运行良好。我已经将手动恢复代码存储在我的密码库中(我知道这有优缺点，在您遵循我的实践之前，值得考虑这方面的风险)。

一些服务还会发布恢复代码(例如Google和GitHub )，如果出现2fa问题，也值得安全地记录这些代码。

最后，一些服务(包括谷歌和MicroSoft 365)允许使用短信短信OTP，如果使用2fa有问题，并且在可能的情况下用这些服务记录您的电话号码是值得的(当然，也存在SIM克隆或未经授权的替换的风险，但这可能小于丢失对2fa令牌的访问权限的可能性-您的里程可能会有所不同，因此要考虑您自己可能面临的任何风险)。

与任何身份验证管理流程一样，注册时需要规划2fa的使用:有哪些恢复选项可供选择，我对丢失/删除/受损的身份验证令牌(包括访问任何应用程序)进行退役的过程是什么？保持一个单独的服务和恢复选项的登记册，并做好最坏的准备！

在失去身份验证令牌之后已经太晚了--回到正常的登录过程通常是非常痛苦和缓慢的。