2FA: Differenza tra l'archiviazione dei codici di backup e la chiave segreta

5

Innanzitutto, la chiave segreta in discussione è quella in cui non è possibile eseguire la scansione di un codice QR in un processo di configurazione 2FA; esiste un codice che è possibile inserire manualmente nell'app / dispositivo di generazione TOTP.

Alcuni servizi forniscono codici di backup monouso per l'autenticazione a due fattori, per il bene se si perde il dispositivo di generazione del codice, ma alcuni non forniscono codici di backup. Per quei servizi che non forniscono codici di backup, tendo a memorizzare la loro chiave segreta.

La mia domanda è, è sicuro archiviare quelle chiavi segrete allo stesso modo dei codici di backup di un negozio? C'è qualche differenza?

Credo che la chiave segreta visualizzata sullo schermo affinché l'utente inserito manualmente sia già inclusa nel codice QR e possa essere utilizzata per accedere a qualsiasi app 2FA, per creare app diverse su telefoni diversi per generare gli stessi codici TOTP. Per favore correggimi se ho torto su questo.

    
posta AlienBoy 04.01.2016 - 09:30
fonte

1 risposta

4

Sì, chiunque abbia la chiave segreta può usarlo per generare password una tantum per il tuo account. Dovrebbe essere trattato allo stesso modo di una password per un sito che non ha 2FA. È più sicuro soprattutto perché l'utente non ha la possibilità di sceglierlo e quindi non può utilizzare una password debole o una password che hanno utilizzato su un altro sito.

In particolare, sconsiglio di memorizzare le chiavi segrete 2FA nella stessa posizione in cui memorizzi le password. Se lo fai, allora chiunque comprometta quel negozio ha entrambi i fattori. Se utilizzi un gestore di password per le tue password, utilizza un programma diverso per i tuoi codici 2FA.

    
risposta data 05.01.2016 - 12:55
fonte

Leggi altre domande sui tag