La mia comprensione è che se si utilizza Authy, senza opzioni di backup / multi-dispositivo, nessuna delle chiavi del proprio account è memorizzata sui propri server. Tutto risiede sul tuo singolo dispositivo.
Vale a dire, anche se i server Authy vengono violati e tutti i loro dati sono compromessi e l'hacker conosce la tua password di Gmail, non sarà ancora in grado di accedere al tuo account Gmail perché non conosce le tue "chiavi Google 2FA".
Se si utilizza la modalità multi-dispositivo su Authy, è ancora vero?
Leggendo il loro post sul blog ( link ) e la descrizione della funzionalità, non sospetto. Affinché i tuoi dispositivi multipli siano sincronizzati tra loro, i loro server di back-end dovranno conoscere la tua chiave 2FA di Gmail e ridistribuirla a tutti i tuoi dispositivi secondo necessità. Ciò implica che se i loro server vengono violati e i loro dati vengono compromessi, anche il tuo account Gmail sarà compromesso.
La mia ipotesi è corretta? Se un utente malintenzionato conosce la mia password di Gmail ed è anche in grado di hackerare il server / database di Authy e sto utilizzando l'opzione multi-dispositivo, l'hacker potrebbe accedere al mio account Gmail?