Con alcuni servizi che utilizzano codici TOTP standard a 6 cifre, offrono anche la possibilità di disporre di un set di codici di backup, nel caso in cui si perda il dispositivo a due fattori.
Con Google, ad esempio, puoi stampare una copia cartacea di 10 codici di backup. Questi sono più di 6 cifre, quindi non è preoccupante.
Tuttavia, alcuni altri siti che generano codici di backup fanno usano 6 cifre. Reddit, ad esempio, sta implementando l'autenticazione a due fattori e i loro 10 codici di ripristino sono tutti a 6 cifre, che è della stessa lunghezza di un codice a due fattori standard che usano.
Questo significa che quei 10 codici non saranno in qualche modo generati a caso dalla chiave di avviamento del TOTP? Dal momento che stanno utilizzando un algoritmo standard (utilizzato da Google Authenticator, Authy, ecc.), Presumo che ogni numero di 6 cifre sia possibile.
In alternativa, ciò significa che nel tempo alcuni di questi codici diventeranno non validi, supponendo che l'algoritmo TOTP generi quel codice? O anche a più lungo termine, se effettuo l'accesso molte volte, immagino di dover eseguire uno di questi codici alla fine, usarlo per accedere e rimuovere inconsapevolmente quel codice dalla mia lista di backup.
Che cosa può essere implicito in una configurazione in cui i codici di ripristino a due fattori hanno lo stesso numero di cifre di un codice standard a due fattori?