Tenga en cuenta que no me refiero a sistemas como Authy, donde puede iniciar sesión en su cuenta en varios dispositivos y sincronizar sus tokens. Me refiero a dos dispositivos completamente separados. que no se conocen unos a otros.
Considere el flujo típico de configuración de autenticación de dos factores para un sitio web de consumidores:
- El usuario inicia sesión y navega a la página "configurar 2FA".
- El sitio genera y muestra un código de barras 2D para el usuario.
- El usuario toma una imagen del código de barras con su aplicación 2FA y genera un token.
- El usuario envía el token al sitio.
- El sitio valida / finaliza la configuración y 2FA está habilitado.
Durante el paso 3, si dos dispositivos diferentes escanearan el código de barras, ¿comenzarían a generar la misma serie de tokens? Si es así, ¿tendrían que escanear el código de barras aproximadamente al mismo tiempo para comenzar con los mismos valores iniciales?
Tengo curiosidad por saber si es posible navegar por el código de barras desde la pantalla de un usuario desprevenido o, por ejemplo, ver un código de barras en material de archivo de video (tal vez de una cámara de seguridad o transmisión de noticias local) y usarlo para clonar un token 2FA sin el conocimiento del usuario.