Quali considerazioni sulla sicurezza dovrei fare quando scelgo una app TOTP?

La maggior parte delle app HOTP / TOTP sono essenzialmente le stesse; gli algoritmi sono documentati pubblicamente, quindi la maggior parte degli utenti vede solo leggere differenze nell'interfaccia utente. Tuttavia, ci sono alcune cose di sicurezza che potresti prendere in considerazione quando ne scegli una:

• È open-source? Google Authenticator, ad esempio, lo era, ma non lo è più (il che IIRC ha ispirato direttamente FreeOTP di RedHat). Tuttavia è improbabile che Google abbia introdotto il codice per rubare i token degli utenti, è possibile; perdi anche gli altri vantaggi di open-source, come essere in grado di cacciare i bug direttamente nel sorgente.
• I segreti sono supportati da qualche parte esterna? Recentemente il mio telefono è morto improvvisamente, e questo significava che dovevo resettare i miei codici 2fa su una serie di servizi (pur non avendo accesso al mio numero di telefono per sms o telefono chiamate, il metodo di backup più comune). Questo era un enorme dolore. Non sorprende che molti utenti vorrebbero utilizzare un servizio che memorizza i segreti sottostanti da qualche parte all'esterno, in modo che possano continuare a utilizzarli in caso di un cambio di dispositivo. Tuttavia, questo comporta un rischio intrinseco: quel fattore non è più "qualcosa che hai", ma l'accesso al tuo account, che spesso è un altro "qualcosa che conosci". Puoi argomentare che i codici non sono più un secondo fattore. Authy (facoltativamente) rientra in questa categoria.

Oltre a ciò, hai delle considerazioni come "Questo si integra bene con i miei strumenti esistenti?" sono considerazioni UX molto reali, ma non influiscono sulla sicurezza se non nel modo in cui convincono gli utenti a utilizzare (o non utilizzare) MFA.

Google Authenticator è ampiamente utilizzato e supportato da molte applicazioni per supportare l'uso dell'autenticazione multifactor. Sta diventando sempre più diffuso di Authy, probabilmente a causa dell'associazione di marchi "Google". Ritengo che l'autenticatore GA fornisca un livello adeguato di sicurezza e usabilità per la maggior parte dei casi in cui viene utilizzato. Lo saprai se questo soddisfa il tuo livello di appetito di rischio accettabile.

Google Authenticator, Authy e qualsiasi "app di sicurezza" valgono solo quanto la sicurezza che viene utilizzata dall'utente finale dal dispositivo sottostante. Se non si adottano buoni principi di sicurezza sul telefono o su qualsiasi supporto utilizzato per lo scambio di chiavi 2F, l'app può variare da molto sicura-inutile. Il fattore umano è uno dei maggiori elementi di buona sicurezza informatica. In termini di ciò che è meglio, vorrei personalmente andare su Google perché hanno i loro team di ricerca sulla sicurezza privata e bontà di bug piuttosto grandi per i loro programmi e app.