Muchos sitios web le brindan una clave de recuperación o una lista de códigos de recuperación que pueden usarse en lugar de tokens 2FA si pierde su teléfono o no puede acceder a su generador de tokens.
¿Cuáles son las prácticas recomendadas a la hora de almacenar estos códigos?
¿Deben almacenarse estos códigos de recuperación junto con la contraseña en un administrador de contraseñas? ¿Deberían estar escritos físicamente y almacenados en un lugar seguro?
Mi principal preocupación es que el administrador de contraseñas sea un punto único de falla. Si mi administrador de contraseñas está comprometido, 2FA es esencialmente inútil en todas las cuentas que lo tienen habilitado.