La mayoría de las aplicaciones HOTP / TOTP son esencialmente las mismas; los algoritmos están documentados públicamente, por lo que la mayoría de los usuarios simplemente ven pequeñas diferencias en la interfaz de usuario. Sin embargo, hay algunos aspectos de seguridad que podría considerar al elegir uno:
-
¿Es de código abierto? Google Authenticator, por ejemplo, solía ser, pero ya no lo es (lo que IIRC inspiró directamente en FreeOTP de RedHat). Sin embargo, es poco probable que Google haya introducido un código para robar los tokens de los usuarios; también te pierdes los otros beneficios del código abierto, como poder buscar errores en el origen directamente.
-
¿Los secretos están respaldados en un lugar externo? Hace poco fallecí mi teléfono de forma inesperada, lo que significaba que tenía que restablecer mis códigos 2fa en varios servicios (mientras no tenía acceso a mi número de teléfono para SMS o teléfono). llamadas, el método de copia de seguridad más común). Este fue un dolor enorme . No es sorprendente que a muchos usuarios les gustaría usar un servicio que almacene los secretos subyacentes en algún lugar externo, para que puedan seguir usándolos en caso de un cambio de dispositivo. Sin embargo, esto conlleva un riesgo inherente: ese factor ya no es "algo que tienes", sino acceso a tu cuenta, que a menudo es otro "algo que sabes". Puedes argumentar que los códigos ya no son un segundo factor. Authy (opcionalmente) cae en esta categoría.
Más allá de eso, tienes consideraciones como "¿Se integra esto muy bien en mis herramientas existentes?" que son consideraciones de UX muy reales, pero no afectan a la seguridad más que en la forma en que convencen a los usuarios para que usen (o no usen) MFA.