ビールでないほうの IPA が、こんなことを言っている。定期的に認証パスワードを変更しろとか、現実的でないことを周知したりしていて（もちろん変えたほうがベター）、個人的には信頼していないのだが、実際問題としてたくさんのワンタイムパスワード生成トークン（A銀行、B銀行、および AWS）やスマホの入ったカバンを海外で盗まれたりしたら、目も当てられない。

• http://mainichi.jp/select/news/20140108k0000m040104000c.html

ちょっと頭の中でシミュレーションしてみた。（盲点があるだろうから実際にやってみたほうが良いかも知れないが、あちこちのサイトで「トークン無くしました、携帯盗まれました」申告をするのは現実的でないので。）
ちなみに基本的なことだが、一つの財布に全てのクレジットカードや銀行カードを入れている時点でアウトだろう。私は、それらをあちこちに分散して持ち歩いているので、まとめて盗まれない限り海外で困らないようにしている、、、つもり。
最初に必要なのは、スマホが帰ってくることを諦めた段階で遠隔消去することだろうか。相手が優秀な IT スパイだったりすると、その場で分解されたり ROM を書き換えられたりしてしまうかも知れないが、とりあえず、消去してしまったほうが良さそうだ。Google Authenticator とか乗っ取られると困るので。
次は銀行か。銀行は、とりあえず事故だけ報告しておけば、口座を凍結して貰えるかな。あとは、実際に出向いて本人の証明をすることになるんだろう。トークンだけ奪われて預金を引き出されることはないと思うけど、暗証マトリクスカードを一緒に盗まれるとけっこうヤバいかも知れない。（そのため、私は暗証マトリクスカードは暗号化してある。どこにあるかは秘密。
その次に必要なのはメールを復旧することだ。GMail の場合は、2段階認証を使っていると、スマホの Google Authenticator に加えて、電話認証やプリントアウトコード認証が可能なので、まずは GMail にアクセスする。そんでもって、盗まれたスマホを revoke してしまおう。
他に不安なのは Amazon AWS だ。個人的には結構依存しているので。これは物理トークンを使っているが、盗まれたらどうするんだろう。ログインして調べてみたら、秘密の質問や住所を登録していることが分かった。たぶん、Amazon のウェブサイトか電話対応で復旧してもらえるんだろう（と信じたい）。秘密の質問も定期的にメンテしたほうが良いかも。
最後は Dropbox か。これも 2段階認証している。認証コードは電話に SMS で送られるようになっているが、2台まで登録できるようだ。さらに、コードをプリントしておくことも可能。これも用意しておいたほうが良さそう。

><