Ciò che posso dire, in generale, è che dovresti not avere un singolo punto di errore. Sia il tuo telefono cellulare (può essere perso, danneggiato, rubato), qualche altro computer o dispositivo (può essere danneggiato), un pezzo di carta (può essere perso, danneggiato) o anche la memoria (può dimenticare le cose, soprattutto se non utilizzate troppo spesso).
Proprio come le password di solito hanno fallback per il recupero (es .: avendo un link di reimpostazione della password inviato a un indirizzo e-mail alternativo), anche l'autenticazione del secondo fattore dovrebbe fare lo stesso, e se non c'è niente di built-in devi fare il tuo Più facile a dirsi che a farsi, vero, dal momento che ogni "step" aggiuntivo risolve un problema ma ne introduce uno nuovo (es .: se dimentico la mia password di posta elettronica, posso resettarla usando una alternativa, ma ora ho bisogno anche di un ripiego per la mia password e-mail alternativa).
Il tuo problema, IMHO, è che hai creato un "ciclo chiuso" nella tua strategia di fallback: per accedere alla tua e-mail hai bisogno del tuo gestore di password e per recuperare l'accesso al tuo gestore di password hai bisogno del tuo indirizzo e-mail. Quando pianifichi il recupero di LastPass, non puoi contare su cose che dipendono dall'avere accesso a LastPass ...
Non penso che esista una soluzione unica per ovviare a questo problema, e tutti i tuoi suggerimenti sono validi a seconda delle circostanze. Personalmente, ecco come proteggi il mio account GMail (non uso ancora i gestori di password, quindi la password e-mail è stata trasferita nella mia memoria):
- Il mio personal computer (desktop) è contrassegnato come "trusted", quindi non richiede codici e richiede solo la mia password di tanto in tanto (ogni 30 giorni, penso);
- Il mio dispositivo Android ha Google Authenticator, ma per aprirlo (o per aprire l'app GMail in sé, o l'intera cosa a 2 fattori sarebbe praticamente inutile ...) Devo fornire un PIN per un App Blocker (quindi anche se qualcuno accede al mio telefono non può leggere la mia e-mail)
- C'è un numero di telefono alternativo registrato, quindi un SMS può essere inviato ad esso se non posso usare il mio.
Questo mi protegge dalla maggior parte degli scenari "catastrofici":
- Se dimentico la mia password e il mio telefono è perso allo stesso tempo, posso comunque accedere a GMail dal mio desktop (il recupero dell'accesso amministrativo è un po 'più complicato).
- Se dimentico la mia password e il mio desktop è rotto allo stesso tempo, posso comunque accedere a GMail dal mio telefono (supponendo che possa ancora ricordare il PIN - qualcosa che uso spesso).
- Se il mio desktop è rotto e il mio telefono perso allo stesso tempo, posso ancora usare la mia password e l'SMS al telefono alternativo per accedere a GMail da un altro computer.
Pur mantenendo la proprietà a 2 fattori a tutti i livelli:
- Per accedere al mio desktop, ho bisogno di un accesso fisico e delle credenziali di accesso;
- Per accedere al mio telefono, ho bisogno di un accesso fisico e del mio PIN;
- Per accedere alla mia e-mail da qualche altra parte, ho bisogno di un accesso fisico a un telefono (primario o alternativo) e alla mia password.
(Nota: in senso stretto, nei primi due casi è richiesto solo l'accesso fisico, se è coinvolto un attaccante abile e silenzioso / rapido, ma questo va oltre lo scopo di questa risposta)