Una tecnica importante per mantenere la privacy online è quella di mantenere separati account separati. Una persona potrebbe avere un indirizzo email per l'uso quotidiano e un secondo per qualcosa di più sensibile.
Se questa persona utilizza la stessa app 2FA (come Auth, Google Authenticator o FreeOTP), questi account sono ora collegati?
La risposta dipende dal fornitore di app? Ad esempio, Authy fornisce backup, quindi devono inviare qualcosa di importante ai loro server.
Su 2FA basato su TOTP (Time Time One Time Password), hai seed e timestamp . Ad ogni intervallo (in genere 30 secondi), il programma 2FA concatena la chiave e il timestamp, lo salda, taglia a una dimensione predefinita e ti dà il risultato.
Per accedere utilizzando TOTP, invierai questo risultato al server, e il server farà lo stesso: concatena il seme dal tuo utente (lo ha memorizzato) con il timestamp, l'hash, taglia e confronta il risultato con il valore che invii. Se corrisponde, ok, l'accesso è consentito.
Non colleghi in alcun modo gli account 2FA. Se usi Google Auth per un paio di account, tutto ciò che hai fatto è memorizzare la seed e il nome del provider (che puoi modificare liberamente) su una comoda applicazione. Potresti anche salvare la chiave in un file di testo e fare i calcoli a mano.
Il problema non è il collegamento degli account, ma la perdita del database. Authy chiede (richiede?) Una password per creare un database di backup, quindi la copia che hai inviato ai loro server è un blob binario crittografato, e non credo che Authy memorizzi la password del database.
Se qualcuno riceve il tuo telefono (forze dell'ordine, coniuge, collega) e apre l'applicazione 2FA, può vedere tutte le etichette dell'account e dedurre che tipo di servizi usi. Usare etichette non descrittive (come chiamare GMail o Funny Cats il token 2FA per un servizio sensibile) può aiutare a mantenere questo elenco più privato.
Leggi altre domande sui tag privacy multi-factor