Sono nuovo al concetto di TOTP, ma come ho capito, il codice segreto condiviso con codifica base32 a 16 caratteri è memorizzato nell'applicazione client (ad esempio, Authy, FreeOTP)? Ciò significa che se rimuovo l'applicazione, la chiave è persa e non posso più generare le mie password monouso?
Sia iOS che Android offrono API per la memorizzazione di dati sensibili nelle applicazioni. Su iOS questa è nota come API Keychain. Ciò che accade dopo che l'applicazione è stata rimossa si basa su molti fattori diversi ma gli elementi nel portachiavi iOS persistono dopo la disinstallazione delle app.
Per l'app Google Authenticator su Android, il segreto condiviso viene semplicemente memorizzato all'interno di un file di database SQLite che può essere letto solo dall'app Google Authenticator. Se hai un dispositivo Android rootato, dovresti essere in grado di vedere quel file e il segreto che contiene facilmente.
Come per altre app o altre piattaforme, non sono chiaro sull'implementazione, ma sarei sorpreso di vedere se è conservato in altro modo.
Dipende davvero dall'applicazione. L'esatta codifica del seme non è così importante; purché l'applicazione sappia come decodificare i dati e calcolare il TOTP su richiesta.
A seconda del profilo di sicurezza del servizio per cui si sta autenticando, potrebbe essere abbastanza importante considerare la crittografia del seme. Tutti i servizi forniti dal sistema operativo sono degni di considerazione, ma non sono a prova di proiettile.
Dovresti considerare se vuoi essere in grado di recuperare il seme, ad es. se l'utente cambia telefono o ripristina un backup; e come recuperi il seme. Se è recuperabile, può potenzialmente essere sfruttato per filtrare il seme.
Leggi altre domande sui tag one-time-password