Stavo solo leggendo e ho trovato davvero affascinante che Authy possa utilizzare le implementazioni di Google Authenticator ovunque.
Come fa Authy a fare questo? Non è un rischio per la sicurezza?
L'utilizzo di app diverse da Google Authenticator non è di per sé un rischio per la sicurezza, a patto che tu abbia fiducia in queste app.
Lo scopo di 2FA è provare che hai qualche oggetto fisico (in questo caso il tuo telefono), oltre a sapere qualcosa (la password). Ciò rende più difficile per un utente malintenzionato compromettere il tuo account, poiché è meno probabile che conosca contemporaneamente la tua password e abbia il tuo telefono.
Il protocollo TOTP utilizzato da Google Authenticator funziona fondamentalmente in questo modo (per i dettagli completi, vedi RFC # 6238 ):
Questo è uno standard aperto e, in base alla progettazione, chiunque può implementarne la metà (client o server). Tuttavia, un'implementazione maliziosa del client potrebbe consegnare i segreti a un utente malintenzionato, che potrebbe quindi impersonare te per scopi 2FA, quindi è consigliabile utilizzare solo app client di cui ti fidi.
Tutto ciò detto, ho alcune riserve piuttosto forti su Authy in particolare. Quando l'ho esaminato per l'ultima volta, per impostazione predefinita memorizzava il segreto del passaggio (1) nel cloud. Questo è inteso per comodità, in modo che se perdi o sostituisci il telefono, non dovrai riconfigurare TOTP su tutti i tuoi account.
Ma significa anche che stai sconfiggendo lo scopo principale di 2FA: non stai più dimostrando che entrambi hai qualcosa e sai qualcosa. Invece, stai dimostrando di sapere qualcosa (la tua password) e di esserti autenticato con qualcun altro (il cloud storage di Authy). Questo è un modello di sicurezza più debole perché rende Authy un punto di errore per tutti gli altri siti.
Il formato di Google Authenticator è un formato standard noto come TOTP o HOTP (a seconda che si tratti di un'implementazione basata sul tempo o basata su HMAC). Il codice QR è solo un URI codificato che contiene tutto il necessario per un'applicazione per impostare il contatore con il segreto iniziale. Ad esempio: otpauth://totp/Example:[email protected]?secret=JBSWY3DPEHPK3PXP&issuer=Example
è ciò che contiene effettivamente il codice QR, che ha il nome utente e la chiave segreta utilizzata.
Leggi altre domande sui tag authentication totp