是否可以使用*仅* U2F身份验证？

Question

使用U2F USB身份验证密钥登录到诸如Google这样的服务似乎是个好主意。但是，这些服务通常允许您注册备份双因素身份验证(2FA)方法，在丢失U2F物理设备时可以使用该方法。

您可以使用“备份方法”登录这些服务，这一事实似乎从一开始就挫败了拥有U2F密钥的意义。如果安全性只有最弱的一环那么一个密码访问帐户的黑客就可以绕过U2F设备，声称密钥丢失了，使用(例如)短信。

另一方面，人们可能不想冒险所有的网络帐户访问一个单一的USB设备。如果它连在他们的钥匙上，它很有可能会丢失，被排除在雨中等等。理想情况下，可以购买两台U2F设备，它们都注册了相同的“秘密”。如果不允许任何其他的2FA方法，那么在U2F设备丢失的情况下，我将在家里安全地存储一个备份。

问:有没有可能复制U2F设备并设置在线服务(如谷歌)只允许U2F，而没有其他备份方法？显然，如果用户购买了两台U2F设备，而它们都失踪了，那么用户将不可逆转地被锁在他们的在线帐户之外，但这将是用户有意注册的一个风险。我真的看不出切换到U2F设备的意义，除非这是一种选择。

Answer 1

Google现在提供了高级保护，这可以满足您的需要(有两个安全密钥)。

Answer 2

如果您使用的服务支持多个不同的U2F设备，则可以向该服务添加多个设备。在谷歌的案例中，我相信他们支持不止一个连接在一起的设备。若要解除备份安全代码，只需使用所有这些代码即可。

您不能复制您的U2F设备，但可能有制造商出售对。通过设计，U2F设备应该是只写的，即只返回对质询的答复，而不是存储的秘密。允许读取秘密(以便在创建后创建副本)可能会带来安全风险，因为获取您的U2F设备的人可能在您不知情的情况下创建副本。

Answer 3

拥有两个不同的安全密钥(这是最建议的备份方法)根本不方便，因为每次在新服务上注册时，我都必须添加两个密钥，这意味着我不能非常安全地保存备份密钥(因为备份密钥需要很容易访问)。

但事实是:完全有可能拥有一对U2F密钥，其设置方式如下：

• 当我在某些服务上注册主令牌时，备份也会自动对此服务生效；
• 当我第一次在某个服务上使用备份令牌时，该服务的主令牌就失效了。

(请参阅下面链接的文章中的技术细节)

这样，我就可以将备份密钥存储在一个非常安全和难以访问的地方，每当我在某个服务上注册我的主密钥时，我就会心平气和地知道备份会自动覆盖我。

为此，制造商将不得不出售以这种方式设置的配对令牌。在编写它的时候，唯一的方法是使用U2F-零或它的后续独奏。到目前为止我只使用U2F-0。

请参阅U2F令牌的可靠、安全和通用备份文章中的所有细节