2FA回復キーをパスワードと共に保存する必要がありますか?
多くのウェブサイトでは、スマートフォンを紛失した場合やトークンジェネレーターにアクセスできない場合に、2FAトークンの代わりに使用できるリカバリキーまたはリカバリコードのリストを提供しています。
これらのコードを保存する際に推奨される方法は何ですか?
これらの回復コードをパスワードと共にパスワードマネージャーに保存する必要がありますか?物理的に書き留めて安全な場所に保管する必要がありますか?
私の主な懸念は、パスワードマネージャーが単一障害点であることです。パスワードマネージャーが危険にさらされている場合、2FAは、それを有効にしているすべてのアカウントで基本的に無意味です。
あなたのアプリケーションについては、あなたが家庭の金庫の中に入れた普通紙に回復キーを保管することをお勧めします。これで十分なセキュリティです。彼らは本当にあなたのアカウントが必要な場合は、むしろあなたから電話または2FAトークンを盗みます。そして、物理的な攻撃は非常にまれです。実際には、金庫に入れる必要さえありません。自宅の机の引き出しに置くことができます。
ただし、トロイの木馬がコードを危険にさらすリスクが高すぎるため、パスワードマネージャー内に保存しないでください。マスターパスワードでパスワードマネージャーのロックを解除すると、トロイの木馬はパスワードマネージャーのパスワードを危険にさらす可能性があります。
それらを(適切なパスワードを使用して)Keepassデータベースに保存できます。それらを紙に印刷して、安全な場所に保管することができます。
Android VMをVirtualboxに作成し、Authenticatorをインストールして、2FAのバックアップとして使用できます。AmazonAWSでは、これらのアカウントのいくつかを使用できますが、 Googleがこれを許可しているかどうかはわかりません。VMは、TruecryptやDMGなどの暗号化されたボリューム、できれば別のマシンに保存する必要があります。外部ディスクにバックアップを作成し、ポータブルVirtualboxを使用できます(Windowsホスト上で)実行します。