U2F USB認証キーを使用して、Googleなどのサービスにログインすることをお勧めします。ただし、これらのサービスでは、多くの場合、バックアップの2要素認証(2FA)メソッドを登録できます。これは、U2F物理デバイスを紛失した場合に使用できます。
「バックアップ方法」を使用してこれらのサービスにログインできるという事実は、そもそもU2Fキーを持っているという点を打ち負かしているようです。セキュリティが最も弱いリンクと同じくらい強い場合、アカウントへのパスワードアクセスを持つハッカーは、(たとえば)SMSを使用して、キーが紛失したと主張することで、U2Fデバイスをバイパスできます。
一方、1つのUSBデバイスへのすべてのWebアカウントアクセスを危険にさらしたくない場合もあります。キーに取り付けられていると、紛失したり、雨の中で取り残されたりする可能性があります。理想的には、同じ「シークレット」で登録されている2つのU2Fデバイスを購入することができます。他の2FAメソッドを許可しないことで、U2Fデバイスがなくなった場合に備えて、自宅にバックアップを安全に保管できます。
質問:U2Fデバイスを複製し、オンラインサービス(Googleなど)をonlyに設定して、でU2Fを許可することは可能ですか?他のバックアップ方法はありません?ユーザーが2つのU2Fデバイスを購入し、both行方不明になった場合、ユーザーはオンラインアカウントから不可逆的にロックアウトされますが、これはユーザーが意図的に署名する危険性があります。まで。これが選択肢でない限り、私はU2Fデバイスへの切り替えのポイントを実際に見ることができません。
Googleは、高度な保護を提供します(2つのセキュリティキーを使用して)必要なことを実行します。
使用しているサービスが複数の異なるU2Fデバイスをサポートしている場合は、サービスに複数のデバイスを追加できます。 Googleのケースでは、リンクされた複数のデバイスをサポートしています。バックアップセキュリティコードを無効にするには、それらすべてを使用するだけです。
U2Fデバイスを複製することはできませんが、ペアを販売しているメーカーがある場合があります。設計上、U2Fデバイスは書き込み専用である必要があります。つまり、保存されている秘密ではなく、チャレンジのみに返信を返します。シークレットの読み取りを許可すると(作成後に複製を作成するため)、U2Fデバイスを入手した誰かが知らないうちに複製を作成する可能性があるため、セキュリティ上のリスクが生じる可能性があります。
新しいサービスに登録するたびに両方のキーを追加する必要があり、バックアップを保持できないことを意味するため、2つの異なるセキュリティキー(バックアップの最も推奨される方法)を持っていることは、まったく便利ではありません。キーは非常に安全に保管されます(簡単にアクセスできる必要があるため)。
しかし、真実は次のように設定されたU2Fキーのペアを持つことは完全に可能です。
(以下のリンク先の記事で技術的な詳細をお読みください)
このようにして、バックアップキーを本当に安全で届きにくい場所に保存できます。また、いくつかのサービスにプライマリキーを登録するときはいつでも、バックアップによって自動的にカバーされることを知っているので安心です。
そのため、製造業者はこの方法でセットアップされた一致するトークンのペアを販売する必要があります。現時点では、それを行う唯一の方法は 2F-zero またはその後継 Solo を使用することです。個人的には今までU2F-zeroだけを使っていました。
記事のすべての詳細を参照してください 2Fトークンの信頼性の高い安全なユニバーサルバックアップ
短い回答:一部のサイトでは、U2Fデバイスを使用している場合にバックアップオプションをオフにすることができますが、これを行うのは自己責任です。
長い答え:利便性とセキュリティは、しばしば相反するものです。あなたは正解です。技術的にはフォールバックメソッドを使用してバイパスすることができるため、バックアップログインソリューションを使用すると、U2Fキーを使用する目的が損なわれます。どのアカウントも、そのフォールバック認証と同じくらい安全です。 フォールバックなしがあれば、安全です。 U2Fデバイスを紛失した場合も、頼りになることはありません。私の知る限り、同じ秘密鍵を使用して2つのU2Fデバイスが作成されることはありません。少なくとも、作成されるべきではありません。 2つのU2Fデバイスが重複している場合、これもセキュリティの弱点になります。 TOTPアプリケーションは、使用しているデバイスが適切に保護されている限り、比較的安全なフォールバックであることに注意してください。