Sí, tienes que revocar con cada servicio. Uno de los elementos de diseño de U2F es que un sitio X no puede probar ni revelar de ninguna manera si el sitio Y está registrado en el dispositivo U2F. Además, está diseñado de manera que si alguien tiene 2 cuentas en el sitio X, el sitio X no puede detectar que esas 2 cuentas se almacenan en el mismo dispositivo U2F.
Esto es para garantizar la privacidad de los usuarios, por lo que varios sitios no pueden rastrear al mismo usuario en diferentes sitios.
Tener un esquema de revocación revelaría este hecho al sitio.
No hay una forma estándar de revocación y regeneración, pero cada sitio debe implementar su propio esquema basado en los requisitos de seguridad. Un esquema puede ser que al usar solo su nombre de usuario / contraseña, puede revocar su dispositivo U2F. Para luego vincular un nuevo dispositivo U2F a su cuenta, un esquema podría ser una letra física con un código de una sola vez, Otro esquema podría ser SMS en combinación con un correo electrónico. También es posible emitir un certificado de revocación.
O incluso 2 dispositivos U2F podrían estar vinculados a la misma cuenta en el momento del registro, donde el uso del segundo dispositivo U2F deshabilitaría el primero, y luego debe solicitar un tercero (que luego debe activarse con el servicio en cuestión y esto la tercera se convierte en la clave de copia de seguridad para la segunda ahora activada).