En primer lugar, la clave secreta que se analiza es aquella en la que no puede escanear un código QR en un proceso de configuración de 2FA, hay un código que puede ingresar manualmente en su dispositivo / aplicación generadora de TOTP.
Algunos servicios proporcionan códigos de respaldo de uso único para la autenticación de dos factores, por el bien de que pierda su dispositivo generador de código, pero otros no proporcionan códigos de respaldo. Para aquellos servicios que no proporcionan códigos de respaldo, tiendo a almacenar su clave secreta.
Mi pregunta es, ¿es seguro almacenar esas claves secretas de la misma manera que en los códigos de respaldo de una tienda? ¿Hay alguna diferencia?
Creo que la clave secreta que se muestra en la pantalla para el usuario ingresada manualmente ya está incluida en el código QR, y se puede usar para ingresar en cualquier aplicación 2FA, para crear diferentes aplicaciones en diferentes teléfonos para generar los mismos códigos TOTP. Por favor, corríjame si me equivoco al respecto.