在设备上存储 OTBC 的问题在于，如果您的设备在软件方面受到威胁，例如病毒感染、木马、复制攻击等，那么您就完蛋了。

请注意，一旦您解锁 Password-DB，恶意实体就可以访问 OTBC 以获取 OTBC-DB，然后也可以访问它。

我对安全管理这些的建议是使用 2 个独立的数据库，一个用于 OTBC，一个用于密码/2FA。当然，除非绝对必要，否则您不会访问 OTBC 数据库。

这两个密码管理器的 OTBC 存储在加密的文本文件中。在同一个文本文件中，您存储 OTBC-DB 的种子，例如，除非在绝对紧急情况下，否则您没有对 OTBC-DB 的 2FA 访问权限。

要访问密码-DB/2FA，您需要以下内容：

• 1：你的大脑密码 A。
• 2：从加密文本文件中提取的2FA 代码或OTBC 代码。

要访问 OTBC-DB，您需要以下内容：

• 1：你的大脑密码 B.
• 2：加密文件的内容（总是！）。

然后将加密文件托管到您的云服务中。

现在介绍如何加密该文本文件：

我建议使用一些服务，在秘密密码触发后，将您的加密密钥发送到电子邮件，但是，只有在至少等待 24 小时后，您才会收到一封“取消”它的电子邮件。

因此，当您丢失所有 2FA 设备时，您可以在服务中输入您的秘密“紧急密码”。然后您等待 24 小时，然后您将获得加密文件的随机密码，该密码与 Brain 密码 B 一起用于访问您的 OTBC 数据库。

但是，如果黑客试图访问紧急密钥，您将有机会取消它，然后黑客就无法访问它。

我将 YubiKey NEO 用于所有 2 因素方法，包括 TOTP。它的 NFC 支持让我可以在手机上使用它。我写了更长的关于为什么我买了其中两个这与你的问题相当相关的文章。

就您的问题而言，这就是最终对我有用的方式：

可用性

一把钥匙一直在我的钥匙链上随身携带，一把钥匙仍然存放在家里。我怀疑让我同时失去他们两个的唯一可能方式是一场火灾，我在出口时没有抓住我的钥匙。我不存储任何 OTBC 代码，但如果我要合并它，我会通过打印出来并将它们存储在保险箱中来做到这一点。您提到移动性对您来说是一个限制打印输出的问题，但我会重新考虑这一点，因为很难得到更好的答案。您可以联系的可信赖的人或在线存储系统是您唯一的其他选择，并且该存储系统一直是乌龟。

由于它是一种专用且物理耐用的设备，因此在我弄坏手机时它会派上用场。我可以使用任何带有 USB 端口的计算机或任何支持 NFC 的手机进行身份验证。

安全

YubiKey 没有“获取机密”API，只有基于时间戳的读取令牌请求。因此，除非您当前拥有我的密钥或曾经拥有过您生成未来令牌的密钥，否则您无法登录服务。这限制了设备妥协的风险。它通常也不与也提供访问时间窗口限制的设备接触。

如果我不能同时考虑这两个密钥，我知道我的可用性很低并且我的安全性被认为是可疑的。那时我会轮换我的凭据并注册一个新密钥。

我会将它们存储在注释部分的加密密码库中（例如 Dashlane、Lastpass 或 1password。）。它将能够通过移动设备同步并加密。假设您没有使用与主密码相同的密码，那么您将是安全的。