La maggior parte delle app HOTP / TOTP sono essenzialmente le stesse; gli algoritmi sono documentati pubblicamente, quindi la maggior parte degli utenti vede solo leggere differenze nell'interfaccia utente. Tuttavia, ci sono alcune cose di sicurezza che potresti prendere in considerazione quando ne scegli una:
-
È open-source? Google Authenticator, ad esempio, lo era, ma non lo è più (il che IIRC ha ispirato direttamente FreeOTP di RedHat). Tuttavia è improbabile che Google abbia introdotto il codice per rubare i token degli utenti, è possibile; perdi anche gli altri vantaggi di open-source, come essere in grado di cacciare i bug direttamente nel sorgente.
-
I segreti sono supportati da qualche parte esterna? Recentemente il mio telefono è morto improvvisamente, e questo significava che dovevo resettare i miei codici 2fa su una serie di servizi (pur non avendo accesso al mio numero di telefono per sms o telefono chiamate, il metodo di backup più comune). Questo era un enorme dolore. Non sorprende che molti utenti vorrebbero utilizzare un servizio che memorizza i segreti sottostanti da qualche parte all'esterno, in modo che possano continuare a utilizzarli in caso di un cambio di dispositivo. Tuttavia, questo comporta un rischio intrinseco: quel fattore non è più "qualcosa che hai", ma l'accesso al tuo account, che spesso è un altro "qualcosa che conosci". Puoi argomentare che i codici non sono più un secondo fattore. Authy (facoltativamente) rientra in questa categoria.
Oltre a ciò, hai delle considerazioni come "Questo si integra bene con i miei strumenti esistenti?" sono considerazioni UX molto reali, ma non influiscono sulla sicurezza se non nel modo in cui convincono gli utenti a utilizzare (o non utilizzare) MFA.