我本周购买了YubiKey 5 NFC,并开始使用 2FA 和 U2F,但我对失去访问权限的想法非常敏感。
为了备份 U2F 访问,我将购买第二个 U2F 令牌(可能是 YubiKey,具体取决于此问题的答案)并将其注册到我的所有服务中。但我不确定如何备份所有 YubiKey 支持的基于 TOTP 的身份验证代码。我有所有这些服务的恢复代码,但我想要第二个 TOTP 生成机制。
我在一篇名为YubiKey for SSH, Login, 2FA, GPG and Git Signing的文章中读到 YubiKey 支持的 TOTP 与电话无关:
使用 2FA 代码播种 YubiKey 的一个非常好的(起初不清楚)优势是,我们现在可以在任何手机上生成 2FA 代码,只要我们随身携带 YubiKey。
过去我已经不得不远程锁定和远程擦除手机,丢失 Google Authenticator 设置并不好玩。如果你小心处理你的 YubiKey,你就不应该再有这个问题了。
但我不确定这将如何工作。此外,如果我丢失了手机,而不是 YubiKey,就会出现这种情况。
所以我的问题有两个:
- 如果我丢失了手机,如何确保我可以使用相同的 TOTP 令牌?也就是说,如果我有一个带有 TOTP 身份验证
n服务的 YubiKey ,那么只需在新手机上安装 Yubico Authenticator,然后将 YubiKey 轻敲到新手机的 NFC 天线上,会生成相同的 TOTP 令牌吗?如果没有,我将如何在新手机上访问它们? - 如果我丢失了我的第一个 YubiKey,如何确保使用第二个 YubiKey 备份 TOTP 身份验证?也就是说,在 GitHub 中注册第二个 YubiKey 很容易,只需进入双因素身份验证管理屏幕并单击
Register New Device,但是没有明确的方法来注册第二个身份验证器应用程序,这就是我为 YubiKey 注册了 TOTP 密码。我在 Yubico 网站上读到“如果您在编程时备份密码(或 QR 码),您可以稍后将相同的密码编程到第二个 YubiKey 上,它的工作方式与第一个相同。” 这可以在 Yubico Authenticator 应用程序中进行 2FA 注册时完成吗?也就是说,我同时注册了两个YubiKey同一个2FA二维码?