Kommt auf die unterschiedlichen Funktionen an, die die Nitrokeys anbieten.
In der Regel durch Redundanz und mehrere Token. Ich verwende hier wie bei Backups eine 3-2-1 Regel und trage z.B. 3 Hardware Token bei den Webservices ein, verwende da auch unterschiedliche Hersteller und überlege mir, wie ich z.B. Recovery Kennwörter abspeichere.
Bei den Kennwörtern oder OTP Strings kann eine Kopie in einem Passwort Manager wie Keepass aufbewahrt werden.
Bei GPG besteht die Möglichkeit, den Key extern zu generieren und auf den Token zu übertragen. So kann man ein Backup anlegen. Ansonsten das Revocation Zertifikat sichern und dann auf einen neuen GPG Key migrieren. Ich verwende GPG meist für SSH Logins und kann da einfach mehrere gleichzeitig eintragen.
Wichtig ist, dass man das einfach für sich selbst auch ausprobiert mit z.B. einem Test Email Account, damit man weiß, dass das auch funktioniert im Ernstfall.