2FAのワンタイムバックアップコードを安全に保存および管理する方法

デバイスにOTBCを保存する場合の問題は、ウイルス感染、トロイの木馬、コピー攻撃など、デバイスがソフトウェア的に侵害された場合、トーストすることです。

Password-DBのロックを解除すると、悪意のあるエンティティがOTBC-DBのOTBCにアクセスし、それにアクセスする可能性があることに注意してください。

これらを安全に管理するための私の提案は、OTBC用とパスワード/ 2FA用に1つずつ、2つの別々のデータベースを使用することです。もちろん、絶対に必要でない限り、OTBCデータベースにはアクセスしません。

これら両方のパスワードマネージャーのOTBCは、暗号化されたテキストファイルに保存します。同じテキストファイルにOTBC-DBのシードを保存します。たとえば、緊急事態でない限り、OTBC-DBに2FAアクセスすることはできません。

パスワードDB/2FAにアクセスするには、次のものが必要です。

• 1：あなたの脳のパスワードA.
• 2：2FAコードor暗号化されたテキストファイルから取得されたOTBCコード。

OTBC-DBにアクセスするには、以下が必要です。

• 1：あなたの脳のパスワードB.
• 2：暗号化されたファイルのコンテンツ（常に！）。

暗号化されたファイルは、クラウドサービスにホストされます。

次に、そのテキストファイルを暗号化する方法について説明します。

シークレットパスワードトリガーによって暗号化キーを電子メールに送信するサービスを使用することをお勧めしますが、少なくとも24時間待ってから、電子メールで「キャンセル」してください。

したがって、すべての2FAデバイスを紛失した場合、秘密の「緊急パスワード」をサービスに入力します。次に、24時間待ってから、暗号化されたファイルへのランダムなパスワードを取得します。これは、脳のパスワードBと一緒に使用され、OTBCデータベースにアクセスします。

ただし、ハッカーが緊急キーにアクセスしようとした場合、そのキーをキャンセルする機会が与えられ、ハッカーはそれにアクセスできなくなります。

TOTPを含むすべての2要素メソッドにYubiKey NEOを使用しています。 NFCサポートされているので、電話でそれを利用できます。私はより長いビットを書きました 2つ購入した理由 これは、あなたの質問。

これがあなたの質問に関して私にとってうまくいった方法です：

在庫状況

1つのキーは私のキーチェーンで常に私と一緒に移動し、1つのキーは家に保管されたままです。両方を同時に失う唯一の可能性のある方法は、出口でキーをつかまない火事を伴うことだと思います。私はOTBCコードを保管していませんが、組み込む場合は、印刷してセーフティボックスに保管することで組み込みます。機動性は問題を印刷することを制限する問題であるとおっしゃいましたが、より良い答えを得るのは難しいので、もう一度お話しします。あなたが連絡できる信頼できる人またはオンラインストレージシステムはあなたの他の唯一のオプションであり、そのストレージシステムはずっとずっと亀です。

専用の物理的に耐久性のあるデバイスであるため、スマートフォンを壊したときに重宝します。 USBポートを備えたすべてのコンピューター、またはNFCをサポートする認証を備えた電話を使用できます。

セキュリティ

YubiKeyには「シークレットを取得」するAPIはなく、タイムスタンプに基づく読み取りトークンリクエストのみがあります。したがって、あなたが現在私の鍵を持っているか、将来のトークンを生成するときにそれを一度に所有していない限り、サービスにログインすることはできません。これにより、デバイスの侵害リスクが制限されます。また、通常はデバイスと接触していないため、アクセスの時間枠にも制限があります。

両方のキーを考慮できない場合、可用性が低く、セキュリティが疑わしいと考えています。その時点で、資格情報をローテーションして新しいキーを登録します。

私はそれらをノートセクションの暗号化されたパスワードボールト（Dashlane、Lastpass、または1passwordなどのSomethg）に保存します。モバイル経由で同期し、暗号化することもできます。マスターパスワードと同じパスワードを使用していない場合は、安全です。