这个问题我也想过,想过要不要搭一个网站专门处理这种问题,不过我部署了 bitwarden,理论上登录上去可以得到密码,但是没有存电话,这个时候一般情况下应该打电话通知家里人,

我也是 2 个 Yubikey ，随身一个，家里一个。 不过我觉得最简单的方式是——远程连接家里的电脑……

我是弄了两个手机，避免出现手机损坏导致两部验证问题

现在的身份验证策略其实是绑定/认的设备,而不是人的. 不管是短信,还是 PassKey,本质都是认设备. 2FA 多数人认知里也是认设备,但实际上是认一个 init code/seed. 所以要 failover,就得至少有两个基本设备. 真要回归到人的话,得是生体特征,人脸虹膜活体等交叉验证. 而且为了确保不会有意外肢体失能等问题,还得多特征.

思考了一下，得到的结论好像是：无解 目前大部分应用服务都依赖 MFA ，单纯密码登陆少之又少，加上如果有使用密码管理器（ bitwarden 、1password 等）的习惯设置的一般都是强密码，在异地没有手机甚至连密码管理器都进不去 op 提到的 vps 上放置强密码加密压缩包确实可行，但是在敏感设备上解压使用密码风险极大，属于是迫不得已情况紧迫可以采取的方案，后果是全部设备应用服务都得重新改密码，但是是一种方案 yubikey 之类的可行，确保 yubikey 安全的情况下使用 yubikey 作为密码管理器的 MFA 方案可行，代价是可能花钱买 yubikey 几年用不上一次，后果是同上，在易暴露环境上解密了密码库，所有密码最好全部修改 综合下来没有手机确实在异地登陆比较麻烦，尤其现在服务的风控策略基于 ip 、基于 geo 、基于使用时间、登陆习惯等，个人没有想到什么较好的方案 欢迎补充

@thatlazyman #9 这事情我吃过两次亏，一次也没记住，几个礼拜之后就找不到了，后来把能关掉的二次验证都关掉了，反正资料泄漏的都差不多了。。。

recovery code 就是为了解决这个问题的，打印下来放钱包里吧。

@yuanxing008 #3 tg 很恶心的，只能尽量多设备登录，家里电脑有几台登几台，手机也多登

跳板机，我在外面只会连接 vps ，然后使用 vps 来进行登录经常使用的账户，这样对服务器端来说，我就是一个长期的可信任的用户。你可以在 vps 里面放上你的相关各种验证文件。 你只需要记住你和 vps 之间的连接方式即可。

设置多层关卡，第一层登录只需要普通密码，但是只能打开第二层验证的程序，其他都无法运行访问。以此类推。类似 sudo 提权