Wat als de YubiKey kwijt is, hoe regel je backup zonder van slot te raken?

Een hardware-key is geen wachtwoord, je kunt hem niet resetten. De enige werkende backup-strategie is een tweede key. Niet een SMS-code, niet een vraag, een tweede sleutel in een kluis.

Probeer dit eerst zelf

1. 1Geef elke gebruiker met een hardware-key minstens twee sleutels. Een primaire (sleutelbos) en een backup (lade thuis of kluis op kantoor). Registreer beide in alle systemen tegelijk, niet pas als de eerste kwijt is.
2. 2Voor admins drie sleutels overwegen: dagelijks gebruik, kantoor-kluis, off-site bij een collega of in een safe-deposit. Verlies van twee sleutels tegelijk wordt dan een echt zeldzame gebeurtenis.
3. 3Documenteer welk serienummer bij welke gebruiker hoort. Bij verlies blokkeer je gericht in Entra (Authentication methods, FIDO2 security key, Manage AAGUID en serienummer) zodat een vinder er niets mee kan.
4. 4Voor de Microsoft-stack: zorg dat ten minste twee break-glass-accounts bestaan die elk een eigen FIDO2-key hebben in een fysieke kluis. Die accounts horen niet in dagelijks gebruik en niet in CA-policies die per ongeluk Block kunnen worden.
5. 5Test eens per kwartaal of een gebruiker met alleen de backup-key kan inloggen, zowel op Windows als op de cloud-portals. Een sleutel die niet getest is, werkt op de slechtst mogelijke dag niet.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.