二段階認証のバックアップ戦略 - 端末紛失でも慌てない準備

本文约需 13 分钟阅读

你在所有重要账户上启用了两步验证 - 优秀的安全习惯。但然后你的手机屏幕碎了，或者更糟，完全丢失了设备。突然间，旨在保护你的安全措施变成了将你锁在外面的障碍。根据 Yubico 2024 年的调查，34% 经历设备丢失的用户在访问受 2FA 保护的账户时遇到困难。讽刺的是：你越认真对待安全，没有适当备份计划时设备丢失就越具毁灭性。本文提供两步验证的完整备份策略，确保无论主设备发生什么，你都不会被锁在外面。

备份代码的可靠保管

获取和管理备份代码

设置两步验证时，大多数服务会发放恢复代码（备份代码）。通常是 8-10 个一次性代码，作为认证设备不可用时的最后手段。Google 发放 10 个 8 位代码，GitHub 发放 16 个字母数字代码，Microsoft 发放 1 个 25 位代码。这些代码在发放时只显示一次，很多服务之后无法重新显示，因此必须在发放的瞬间可靠保存。

备份代码的保管地点必须与认证设备物理分离。保存在智能手机的备忘录应用中是最糟糕的选择 - 丢失设备意味着同时丢失代码。推荐三种保管方法：第一，打印在纸上保存在防火保险箱中。第二，保存在密码管理器的安全笔记中（但密码管理器本身的备份代码要放在别处）。第三，保存在加密 USB 驱动器上，存放在与家不同的地方。理想情况下，同时使用其中两种以上方法。

多设备注册和认证应用迁移

TOTP 密钥的多设备注册

设置 TOTP（基于时间的一次性密码）时，可以在扫描 QR 码阶段同时注册到多个设备。例如，在主智能手机和平板电脑（或仅用 Wi-Fi 连接的旧手机）上扫描同一个 QR 码，两个设备就会生成相同的代码。这样即使主设备丢失，也能用备份设备继续认证。保存 QR 码截图可以之后在其他设备上追加注册，但这个截图必须加密安全保管。

认证应用的迁移步骤

更换智能手机时，认证应用的数据迁移是最需要注意的工作之一。Google Authenticator 从 2023 年开始添加了云同步功能，但由于未应用端到端加密，不推荐注重安全的用户使用。Microsoft Authenticator 支持通过 iCloud/Google 账户备份。Authy 将多设备同步作为标准功能提供，机种变更时迁移最顺畅。迁移基本步骤是：(1) 在新设备上安装认证应用，(2) 使用旧设备的导出功能或各服务的 2FA 重新设置进行迁移，(3) 确认新设备正确生成代码，(4) 删除旧设备的数据。

硬件安全密钥的备用策略

备用密钥的必要性和注册方法

将硬件安全密钥作为两步验证的主要手段时，至少准备 1 把备用密钥是不可或缺的。如果丢失或损坏密钥而没有备用，就无法访问账户。Google 的内部安全策略为所有员工配发 2 把安全密钥 - 1 把随身携带，1 把保存在家中。个人用户也同样推荐主密钥和备用密钥的 2 把体制。备用密钥需要预先注册到与主密钥相同的所有账户。

备用密钥的保管地点要与主密钥不同。如果主密钥挂在钥匙串上随身携带，备用密钥就保存在家中的防火保险箱里。经常出差旅行的话，也可以考虑放在工作场所的储物柜或可信赖的家人家中。YubiKey 的话不需要购买两把相同型号。主用 YubiKey 5 NFC（USB-A + NFC 对应），备用 YubiKey 5C Nano（USB-C，小巧易保管）等根据用途组合不同型号也很有效。重要的是将备用密钥保管在需要时能立即取得的地方，同时选择盗窃风险低的位置。<AmazonLink keyword="セキュリティキー" locale={locale} className="amazon-inline-link">YubiKey 等安全密钥 (Amazon)</AmazonLink>推荐包含备用在内购买 2 把套装。

构建综合备份体制

最稳健的两步验证备份体制是组合多种手段的纵深防御。推荐配置是：(1) 主要认证手段（认证应用或安全密钥），(2) 备份设备上同时注册的 TOTP，(3) 备用硬件安全密钥，(4) 打印在纸上的备份代码（防火保险箱保管），(5) 密码管理器安全笔记中保存的备份代码副本 - 共 5 层。有了这样的冗余，即使家被烧毁或同时丢失所有设备，至少还有 1 条恢复路径。每半年进行一次演练，确认所有备份手段仍然有效。