2FAリカバリーコードを保管するためのベストプラクティス

まず、2FAリカバリーコードが2FA自体をバイパスするために使用されていることを明確にしましょう。

2FAの主な目的は、2つの異なる「チャネル」、たとえば、知っているものや持っているものから秘密を確実に提供することです。パスワードはあなたが知っているものであり、メモリ（あなたの脳またはあなたのコンピュータのハードディスク）に保持されている場合の回復コードもあなたが知っているものです。これらの回復コードのセキュリティについてあまり説明しなくても、「何かがある」という要素は、完全に仮想世界の外にある方がうまく機能することは明らかです。つまり、コードを1枚の紙に保存するか、コードごとに小さな紙に保存することが、私見の最良の選択肢です。それを明確に暗号化してクラウドまたは別のコンピューター/デバイス/ USBに保存することもできますが、最終的にはこれらのコードをプレーンテキストで復号化してアクセスする必要があります。緊急時にはそれは理想的ではないかもしれません、またはあなたのシステム/ネットワークが危険にさらされているならば、暗号化されていないコードは攻撃者にアクセスできるかもしれません。したがって、たとえばコードを印刷して財布に入れておくと、2FAの安全なプロパティを維持できると思います。飛行機で旅行する場合は、当局がパスワードを提供し、財布を没収するように強制することができるため、再検討する必要がある場合があります。ですので注意してください:)

オプション4：それらをハードコピー（デジタルではなく）で印刷し、安全な場所に保管します。

私は自分のパスワードをローカルストレージのパスワードマネージャーに保存し、バックアップを別のデバイスに保存しています。これは、かなり古いディノサウルスとして、強力なプライバシーについてクラウドを本当に信頼していないためです。実生活でも同じですが、家の鍵をポケットに入れて持ちます。必要なときにすぐに見つけるために、植木鉢に置いたままにしないでください。

そのプロセスで、私は資格情報とともにリカバリー・コードをパスワード・マネージャー・ボールトに保管します。

リスク分析：

• パスワードボールトの侵害：攻撃者は両方とも私の電話（またはコンピューター）を盗む必要がありますandマスターパスワードを推測する-2FAレベルのグローバルセキュリティ
• パスワードボールトが失われたか破壊された：私はバックアップ（実際には2）を持っているので、それを復元できるはずですが、マスターパスワードを含むすべてのパスワードと、それが発生した場合はすべての回復コードを変更する必要があります...
• （数値）メモが失われるか、読み込めなくなった：私はパスワードマネージャーを少なくとも2つの異なるデバイスで定期的に使用しているので、1つがダウンしていたかどうかに注意する必要があります

私見、パスワードを変更するときに問題が発生した後、それらを使用しなければならなかったので、資格情報と同じ場所に回復コードを保持することは理にかなっています：サーバーが誤って入力したパスワードを登録したため、誰も（私も）それを知っていた。

ユースケースでは、パスワードボールトはクラウドにあります。アクセスはすでにあなたの電話を通して2FAで保護されているので、私はボールトに回復コードを保存しません。 2台目のデバイスからのバックアップアクセスを構成するか、物理的な金庫の古き良き紙に戻します。

私はiCloudに保存された暗号化されたドキュメントに私のものを保管します。 iCloudアカウントでは2要素認証が有効になっていますが、4つのデバイスが登録されており、ラップトップ、デスクトップ、電話、タブレットを同時に失う可能性はかなり低いと思います。当然、私は暗号化パスワードとiCloudパスワードをメモリにコミットしています。