如何备份YubiKey支持的TOTP身份验证？

Question

这周，我买了一台YubiKey 5 NFC，并开始使用2FA和U2F，在那里，我对失去访问权限的想法非常敏感。

为了备份U2F访问，我将购买第二个U2F令牌(可能是一个YubiKey，取决于这个问题的答案)，并将其注册到我的所有服务中。但我不知道如何备份所有基于YubiKey支持的基于TOTP的身份验证代码。我有所有这些服务的恢复代码，但我希望有第二个TOTP生成机制。

我在一篇名为YubiKey用于SSH、登录、2FA、GPG和Git签名的文章中读到，YubiKey支持的TOTP是独立于手机的：

一个非常好的(并且不清楚，在最初)的优势，有一个YubiKey种子2FA码是，我们现在可以生成2FA代码在任何电话，只要我们有我们的YubiKey与我们。我已经有远程锁定和远程删除手机在过去，失去谷歌认证设置是不好玩的。如果你小心地处理你的YubiKey，你就不会再有这个问题了。

但我不知道这是怎么回事。此外，如果我失去了电话，而不是YubiKey，情况就是这样。

，所以我的问题有两个：

1. 如果我的手机丢了，如何确保我可以使用相同的TOTP令牌？也就是说，如果我的YubiKey为n服务设置了TOTP身份验证，那么简单地在新手机上安装Yubico身份验证器，然后在新手机的NFC天线上点击YubiKey就会产生相同的TOTP令牌吗？如果没有，我怎样才能在新手机上访问他们？
2. 如果我丢失了第一个YubiKey，如何确保使用第二个YubiKey备份TOTP身份验证？也就是说，通过简单地转到双因素身份验证管理屏幕并单击YubiKey，在GitHub中注册第二个身份验证程序是很容易的，但是没有明确的方法来注册第二个身份验证程序，这就是我如何注册YubiKey的TOTP密码。我读过在Yubico网站上，“如果在编程时备份秘密(或QR代码)，以后可以将相同的秘密编程到第二个YubiKey上，它将与第一个相同。”这能在2FA注册的时候在Yubico认证应用程序中完成吗？也就是说，我注册了两个YubiKey与相同的2FA QR代码同时？

Answer 1

当使用网站设置TOTP时，它们会给您一个共享的秘密。

1. Yubico身份验证器使用您的Yubikey存储该信息。只要您的密钥存在，Yubico身份验证器的所有实例都是可互换的。
2. 大多数网站只与你分享一个秘密，但你可以自由地更新这个秘密。在向站点注册“新身份验证器”时，可以在告诉站点完成之前将该秘密放在多个密钥/验证器上。

Answer 2

虽然任何使用OTP令牌的人都应该允许您配置多个令牌源(至少两个这样您就可以有一个安全的备份)，但并不是所有的都可以。如果您的所有位置都允许您注册两个身份验证应用程序，那么只需在每个YubiKey上注册一个应用程序(我建议您也使用一个5作为备份，这样您就可以在支持它的站点上使用FIDO2 --而且每个支持FIDO/FIDO 2的站点都允许多个令牌注册)。

对于不允许您注册第二个令牌的站点，我将采取不同的方法。我一直在使用LastPass身份验证应用程序来存储我的TOTP代码。使用LastPass身份验证器的好处是，TOTP秘密存储在您的LastPass保险库中(因此，如果您丢失了一台电话/计算机，您仍然可以恢复)。LastPass将允许您使用YubiKeys保护您的帐户，您可以注册其中的几个。因此，启动LastPass身份验证器并在其上执行2FA (密码加YubiKey)，然后在那里使用TOTP来访问网站。

如果您使用的是YubiKey NFC，并且您的手机支持NFC，那么您仍然可以使用与Yubi身份验证器几乎相同的方式。不同之处在于，秘密密钥存储在您的LastPass金库中，而Yubi (来自任一密钥)用于解锁；与加载到各个Yubi棒上的所有密钥相反。