Come può Authy utilizzare Google Authenticator QR

L'utilizzo di app diverse da Google Authenticator non è di per sé un rischio per la sicurezza, a patto che tu abbia fiducia in queste app.

Lo scopo di 2FA è provare che hai qualche oggetto fisico (in questo caso il tuo telefono), oltre a sapere qualcosa (la password). Ciò rende più difficile per un utente malintenzionato compromettere il tuo account, poiché è meno probabile che conosca contemporaneamente la tua password e abbia il tuo telefono.

Il protocollo TOTP utilizzato da Google Authenticator funziona fondamentalmente in questo modo (per i dettagli completi, vedi RFC # 6238 ):

1. Esegui la scansione di un codice QR che contiene alcuni segreti. Il sito ti fornisce questo segreto e lo memorizza anche lato server (preferibilmente crittografato, in un HSM o in alcuni altra memoria "ragionevolmente sicura": RFC # 4226 ha qualche interessante discussione delle difficoltà qui).
2. Quando hai bisogno di una nuova password one-time (OTP), esegui alcune operazioni crittografiche (un HMAC ) in base al segreto e al tempo corrente.
3. Quell'operazione di crittografia produce un valore che può essere convertito in un OTP. Fornisci l'OTP al sito web, che genera un OTP con lo stesso processo.
4. Se l'OTP fornito corrisponde all'OTP generato dal sito Web (o all'OTP, esso avrebbe generato alcuni passaggi temporali nel passato o nel passato, per consentire l'inversione dell'orologio), verrà accettato. Altrimenti, viene rifiutato.

Questo è uno standard aperto e, in base alla progettazione, chiunque può implementarne la metà (client o server). Tuttavia, un'implementazione maliziosa del client potrebbe consegnare i segreti a un utente malintenzionato, che potrebbe quindi impersonare te per scopi 2FA, quindi è consigliabile utilizzare solo app client di cui ti fidi.

Tutto ciò detto, ho alcune riserve piuttosto forti su Authy in particolare. Quando l'ho esaminato per l'ultima volta, per impostazione predefinita memorizzava il segreto del passaggio (1) nel cloud. Questo è inteso per comodità, in modo che se perdi o sostituisci il telefono, non dovrai riconfigurare TOTP su tutti i tuoi account.

Ma significa anche che stai sconfiggendo lo scopo principale di 2FA: non stai più dimostrando che entrambi hai qualcosa e sai qualcosa. Invece, stai dimostrando di sapere qualcosa (la tua password) e di esserti autenticato con qualcun altro (il cloud storage di Authy). Questo è un modello di sicurezza più debole perché rende Authy un punto di errore per tutti gli altri siti.

Il formato di Google Authenticator è un formato standard noto come TOTP o HOTP (a seconda che si tratti di un'implementazione basata sul tempo o basata su HMAC). Il codice QR è solo un URI codificato che contiene tutto il necessario per un'applicazione per impostare il contatore con il segreto iniziale. Ad esempio: otpauth://totp/Example:[email protected]?secret=JBSWY3DPEHPK3PXP&issuer=Example è ciò che contiene effettivamente il codice QR, che ha il nome utente e la chiave segreta utilizzata.

link