我使用的另一个选项是将硬件令牌（如 RSA 将出售给您的硬件令牌）同步到帐户，然后将令牌放入公司保险箱中。只要您保持保险箱的物理安全性，令牌就会受到保护。将令牌从保险箱中取出的过程会很烦人（应该只有少数人可以访问它，以及打开它的过程），但这没关系，因为您没有使用 root定期帐户，仅用于紧急恢复目的。

以下是我为此编写解决方案的方法：

HahsiCorp 的 Vault 产品允许您记录对任何凭证的所有访问，并且它支持 TOTP 哈希，允许您读取当前值而不是密钥。要使用 root 访问权限，请从 Vault 获取当前令牌。

为确保您不会失去访问权限，请做好备份。为确保您的备份不被泄露，请将主解密与组织中适当数量的个人分开，并将其加密为硬件令牌上的 PGP 密钥。

这样，只要 Vault 实例正在运行，任何授权的人都可以使用 root 凭据，您就会知道是谁使用的。实际上要获得 MFA 的根秘密需要多人串通。