La maggior parte degli account con autenticazione a due fattori (2FA) fornisce codici di backup da utilizzare nel caso in cui il telefono venga perso o rubato. Ad esempio, Google fornisce un elenco di 10 codici di backup durante l'impostazione di 2FA. Questi codici devono essere memorizzati in modo sicuro , ma devono anche essere accessibili . Se qualcuno è in grado di ottenere i codici 2FA, può ignorare 2FA sul mio account.
Alcune persone hanno suggerito di stampare i codici e di conservarli nel bagaglio. Invece, ho inserito i codici di backup in un archivio di crittografia digitale con una chiave unica conosciuta solo a me. Sto usando la crittografia lato client che richiede un software speciale a cui non posso avere accesso mentre viaggio.
Poiché il mio telefono è l'unico dispositivo di elaborazione che ho quando viaggio, sto cercando di eliminare il requisito per il software di decrittografia. Mi piacerebbe anche mantenere il controllo delle mie chiavi in modo che una cassastrong con conoscenze chiave (Dropbox, Google Drive, ecc.) Sia anche fuori questione.
Pertanto, sto prendendo in considerazione un'altra opzione. Invece di archiviare i codici di backup in un vault digitale che richiede software per la decrittografia, cosa succede se li crittaggio con il metodo one-time pad manuale (char di testo + char key quindi mod 26) e rendere i cifrari disponibili al pubblico? Quando perdo il mio telefono, posso decifrare i cifrari a mano con la chiave che ho memorizzato senza bisogno di software speciale.
Questo fornisce un paio di ulteriori vantaggi:
- Posso memorizzare i codici di backup crittografati in più posizioni, come il mio portafoglio, i miei bagagli, e su una pagina web accessibile al pubblico.
- Ho solo bisogno di memorizzare una chiave per tutti i miei codici di backup su più account.
- Non importa se i codici del codice di backup vengono persi o rubati.
La mia domanda è: è un metodo sicuro per la memorizzazione dei codici di backup 2FA? Quali sono i rischi per la sicurezza? Cosa sto trascurando?