Sì, devi revocare ogni servizio. Uno degli elementi di design di U2F è che un sito X non può in alcun modo testare o rivelare se il sito Y è registrato sul dispositivo U2F. Inoltre, è anche progettato in modo che se qualcuno ha 2 account sul sito X, il sito X non può rilevare che quei 2 account sono memorizzati sullo stesso dispositivo U2F.
Questo per garantire la privacy degli utenti in modo che più siti non possano tracciare lo stesso utente su siti diversi.
Avere uno schema di revoca rivelerebbe questo fatto al sito.
Non esiste un modo standardizzato di revoca e rigenerazione, ma ogni sito deve implementare il proprio schema in base ai requisiti di sicurezza. Uno schema può essere che usando solo il tuo nome utente / password, puoi revocare il tuo dispositivo U2F. Per legare quindi un nuovo dispositivo U2F al tuo account, uno schema potrebbe essere una lettera fisica con un codice monouso, Un altro schema potrebbe essere SMS in combinazione con un messaggio di posta elettronica. È inoltre possibile emettere un certificato di revoca.
O anche 2 dispositivi U2F potrebbero essere collegati allo stesso account al momento dell'iscrizione, dove l'uso del secondo dispositivo U2F disabiliterebbe il primo, e quindi devi ordinare un terzo (che quindi deve essere attivato con il servizio in questione e questo terzo diventa la chiave di backup per la seconda ora attivata).