2FA: diferencia entre almacenar códigos de respaldo y claves secretas

5

En primer lugar, la clave secreta que se analiza es aquella en la que no puede escanear un código QR en un proceso de configuración de 2FA, hay un código que puede ingresar manualmente en su dispositivo / aplicación generadora de TOTP.

Algunos servicios proporcionan códigos de respaldo de uso único para la autenticación de dos factores, por el bien de que pierda su dispositivo generador de código, pero otros no proporcionan códigos de respaldo. Para aquellos servicios que no proporcionan códigos de respaldo, tiendo a almacenar su clave secreta.

Mi pregunta es, ¿es seguro almacenar esas claves secretas de la misma manera que en los códigos de respaldo de una tienda? ¿Hay alguna diferencia?

Creo que la clave secreta que se muestra en la pantalla para el usuario ingresada manualmente ya está incluida en el código QR, y se puede usar para ingresar en cualquier aplicación 2FA, para crear diferentes aplicaciones en diferentes teléfonos para generar los mismos códigos TOTP. Por favor, corríjame si me equivoco al respecto.

    
pregunta AlienBoy 04.01.2016 - 09:30
fuente

1 respuesta

4

Sí, cualquier persona que tenga la clave secreta puede usarla para generar contraseñas de un solo uso para su cuenta. Debe tratarse de la misma manera que una contraseña para un sitio que no tiene 2FA. Es más seguro sobre todo porque el usuario no puede elegirla, por lo que no puede usar una contraseña débil o una contraseña que haya usado en otro sitio.

En particular, recomendaría no almacenar las claves secretas de 2FA en el mismo lugar que almacena las contraseñas. Si lo haces, entonces cualquiera que comprometa esa tienda tiene ambos factores. Si usa un administrador de contraseñas para sus contraseñas, use un programa diferente para sus códigos 2FA.

    
respondido por el Mike Scott 05.01.2016 - 12:55
fuente

Lea otras preguntas en las etiquetas