En 2FA basado en TOTP (Contraseña de una sola vez basada en el tiempo), tiene el valor de inicio y la marca de tiempo . En cada intervalo (generalmente 30 segundos), el programa 2FA concatena la clave y la marca de tiempo, la codifica, corta a un tamaño predefinido y le da el resultado.
Para iniciar sesión usando TOTP, enviará este resultado al servidor y el servidor hará lo mismo: concatene la semilla de su usuario (la tiene almacenada) con la marca de tiempo, hash, corte y compare el resultado con el valor que envíes. Si coincide, bien, acceso permitido.
No vinculas las cuentas 2FA de ninguna manera. Si usa Google Auth para un par de cuentas, todo lo que ha hecho es almacenar la semilla y el nombre del proveedor (que puede editar libremente) en una aplicación conveniente. Incluso podría guardar la clave en un archivo de texto y hacer los cálculos a mano.
El problema no es vincular las cuentas, sino filtrar la base de datos. Authy pregunta (¿requiere?) Una contraseña para crear una base de datos de respaldo, por lo que la copia que envió a sus servidores es un blob binario cifrado, y no creo que Authy almacene la contraseña de la base de datos.
En caso de que alguien obtenga su teléfono (policía, cónyuge, colega) y abra la aplicación 2FA, podrá ver todas las etiquetas de las cuentas e inferir qué tipo de servicios usa. El uso de etiquetas no descriptivas (como llamar a GMail o Funny Cats el token 2FA para un servicio sensible) puede ayudar a mantener esta lista más privada.