He probado algunas aplicaciones de autenticación (Google, Microsoft, Authy, Lastpass, ...) y todas esas aplicaciones generan las mismas contraseñas de una sola vez al mismo tiempo.
Por lo tanto, estas aplicaciones utilizan el mismo algoritmo, que es un algoritmo genérico, no un algoritmo de desarrollador de aplicaciones. Estoy en lo correcto?
estas aplicaciones utilizan el mismo algoritmo, que es un algoritmo genérico, no un algoritmo de desarrollador de aplicaciones. Estoy en lo correcto?
Sí.
Hay dos protocolos de uso común para las aplicaciones de autenticación:
Los algoritmos para los dos protocolos se especifican en estándares abiertos, así que sí, todas las implementaciones de los mismos son compatibles.
Todas las aplicaciones que enumeraste comparten un algoritmo. Esto les permite ser compatibles y en gran medida intercambiables.
Sin embargo, hay otros esquemas que parecen casi idénticos desde el punto de vista del usuario pero no usan el mismo algoritmo. Por ejemplo, RSA Authenticate utiliza un algoritmo propietario que es un tipo de TOTP, pero no es compatible con RFC 6238.
Lea otras preguntas en las etiquetas passwords authentication one-time-password algorithm authenticator