¿Qué consideraciones de seguridad debo hacer al elegir una aplicación TOTP?

La mayoría de las aplicaciones HOTP / TOTP son esencialmente las mismas; los algoritmos están documentados públicamente, por lo que la mayoría de los usuarios simplemente ven pequeñas diferencias en la interfaz de usuario. Sin embargo, hay algunos aspectos de seguridad que podría considerar al elegir uno:

• ¿Es de código abierto? Google Authenticator, por ejemplo, solía ser, pero ya no lo es (lo que IIRC inspiró directamente en FreeOTP de RedHat). Sin embargo, es poco probable que Google haya introducido un código para robar los tokens de los usuarios; también te pierdes los otros beneficios del código abierto, como poder buscar errores en el origen directamente.
• ¿Los secretos están respaldados en un lugar externo? Hace poco fallecí mi teléfono de forma inesperada, lo que significaba que tenía que restablecer mis códigos 2fa en varios servicios (mientras no tenía acceso a mi número de teléfono para SMS o teléfono). llamadas, el método de copia de seguridad más común). Este fue un dolor enorme . No es sorprendente que a muchos usuarios les gustaría usar un servicio que almacene los secretos subyacentes en algún lugar externo, para que puedan seguir usándolos en caso de un cambio de dispositivo. Sin embargo, esto conlleva un riesgo inherente: ese factor ya no es "algo que tienes", sino acceso a tu cuenta, que a menudo es otro "algo que sabes". Puedes argumentar que los códigos ya no son un segundo factor. Authy (opcionalmente) cae en esta categoría.

Más allá de eso, tienes consideraciones como "¿Se integra esto muy bien en mis herramientas existentes?" que son consideraciones de UX muy reales, pero no afectan a la seguridad más que en la forma en que convencen a los usuarios para que usen (o no usen) MFA.

Google Authenticator es ampliamente utilizado y compatible con muchas aplicaciones para admitir el uso de la autenticación multifactor. Se está utilizando más ampliamente que Authy, posiblemente debido a la asociación de marca "Google". Creo que el autenticador GA ofrece un nivel adecuado de seguridad y facilidad de uso para la mayoría de los casos en que se utiliza. Si esto cumple con su nivel de apetito de riesgo aceptable, solo lo sabrá.

Google Authenticator, Authy y cualquier 'aplicación de seguridad' son tan buenas como la seguridad que emplea el usuario subyacente en el dispositivo subyacente. Si no adopta buenos principios de seguridad en su teléfono, o cualquier medio que esté utilizando para intercambiar claves 2F, la aplicación puede ser muy inútil. El factor humano es uno de los elementos más importantes de la buena ciberseguridad. En términos de lo que es mejor, personalmente me gustaría ir a Google porque tienen sus propios equipos de investigación de seguridad privada y una gran cantidad de errores para sus programas y aplicaciones.