Molti siti web ti forniscono una chiave di ripristino o un elenco di codici di ripristino che possono essere utilizzati al posto di token 2FA se perdi il telefono o non riesci ad accedere al tuo generatore di token.
Quali sono le pratiche consigliate quando si tratta di memorizzare questi codici?
Questi codici di ripristino dovrebbero essere memorizzati insieme alla password in un gestore di password? Dovrebbero essere scritti fisicamente e conservati in un posto sicuro?
La mia preoccupazione principale è che il gestore di password sia un singolo punto di errore. Se il mio gestore di password è compromesso, 2FA è sostanzialmente inutile su tutti gli account che lo hanno abilitato.