物理 2FA 令牌，例如智能卡或 YubiKey，在大公司中越来越流行用于身份验证。但是，它们的一个问题是可用性：当物理 2FA 令牌丢失或损坏时，用户设计无法再进行身份验证。

公司应如何管理其物理 2FA 代币，以确保丢失 2FA 代币的员工能够尽快取回访问权限？

以下是我想到的一些可能的解决方案：

保留一些空令牌作为备份

通过保留少量空令牌作为备份，IT 可以相对快速地对这些令牌进行个性化，并且应该允许用户继续工作。不利的一面是，鉴于当前迫使许多人在家工作的情况，员工可能无法立即获得新的代币，这可能会导致大量停机。

给每个人第二个令牌

基本上，员工会获得两个令牌（我们称它们为“主要”和“备用”令牌），并被告知将他们的备用令牌保存在安全的地方。如果主令牌由于丢失或故障而变得不可用，则可以很容易地访问辅助令牌。不利的一面是，这实际上使 2FA 令牌的成本增加了一倍，同时也增加了攻击面。