Ho provato Authy , un'alternativa di Google Authenticator con una funzione opzionale di poter eseguire il backup dei token. Hanno due tipi di token: token generati automaticamente e token OTP regolari aggiunti mediante la scansione di un codice QR (come faresti con Google Authenticator).
Se io comprendo correttamente , i backup dei token OTP standard sono crittografati con una password prima di caricarli su Authy. La tua password di backup non viene inviata ai loro server, ma semplicemente memorizzano un blob crittografato di dati per te. Sembra buono finora.
Tuttavia, quando ho impostato Authy su un nuovo dispositivo, ho notato che i token generati da Authy non sembrano beneficiare dello stesso livello di sicurezza. Quando imposti Authy su un nuovo computer, puoi accedere al tuo account tramite la verifica tramite SMS (qualcosa che hanno criticato per essere insicuro). L'inserimento di un passcode SMS ti consente di accedere e di accedere immediatamente ai token generati da Authy (presumendo di aver attivato il supporto multidevice). I token Authenticator sono ancora crittografati a questo punto e possono essere decifrati se inserisci la password di backup.
Quali sono le implicazioni per la sicurezza di questo? La procedura di accesso basata su SMS non rende i token generati da Authy abbastanza vulnerabili all'acquisizione?