Quando configura 2FA con Authy, la maggior parte dei siti web ti fornisce un codice QR da scansionare.
Sarebbe corretto dire che dovresti trattare questo codice QR in modo sicuro? Se questo codice o una sua immagine sono trapelati, non c'è niente che impedisca a qualcun altro di configurare 2FA su un altro dispositivo senza che tu lo sappia, vero?
Devi assolutamente considerare segreto il codice QR.
Per 2FA (cioè TOTP), il codice QR ha un segreto condiviso incorporato, che è fondamentalmente ciò che fa funzionare il TOTP (vedi link ).
OTP (sia HOTP che TOTP) si basano fondamentalmente su HMAC e il segreto condiviso viene utilizzato come chiave HMAC.
La differenza tra i due tipi di OTP è praticamente ciò che sta ricevendo HMAC - per TOTP, un timestamp e per HOTP, un contatore.
Leggi altre domande sui tag multi-factor qr-code