Estoy tratando de encontrar la mejor estrategia para tener un token U2F de respaldo. Idealmente, quiero tener dos fichas idénticas; obviamente, tendré el acceso principal (p. ej., en mi llavero), pero el segundo lo pondré en un lugar que no sea fácilmente accesible (los casos extremos son: encerrados en la pared o enterrados en algún lugar del bosque). Así que cada vez que me registro en un nuevo servicio compatible con U2F, solo uso mi token principal, y sé que el segundo también es automáticamente compatible. Considero que esta estrategia es un buen compromiso para estar seguro y aún tengo una opción de copia de seguridad confiable.
Pero al parecer, con yubikeys, la única opción viable es tener dos tokens distintos y registrar ambos manualmente en cada servicio para el que los uso. Sin embargo, esto no es lo ideal, ya que tendría que tener a ambos fácilmente accesibles: está bien si tengo que desbloquear el token de copia de seguridad en un mal evento de perder el primario, pero hacerlo por cada nuevo servicio no es viable .
En realidad, me sorprendió descubrir que a pesar de que los yubikeys admiten la programación del material de la clave OTP (e incluso tienen dos ranuras, es realmente agradable), no admiten la programación del secreto clave utilizada para U2F.
¿Existe alguna razón en particular por la que la clave secreta U2F en yubikeys no sea programable, aunque los datos secretos para otros modos (por ejemplo, OTP) son programables?