Con algunos servicios que utilizan códigos TOTP de 6 dígitos, también ofrecen la posibilidad de tener un conjunto de códigos de respaldo, en caso de que pierda su dispositivo de dos factores.
Con Google, por ejemplo, puede imprimir una copia impresa de 10 códigos de respaldo. Estos son más de 6 dígitos, por lo que no es preocupante.
Sin embargo, algunos otros sitios que generan códigos de copia de seguridad do usan 6 dígitos. Reddit, por ejemplo, está implementando la autenticación de dos factores, y sus 10 códigos de recuperación son todos de 6 dígitos, que es la misma longitud que el código estándar de dos factores que utilizan.
¿Esto significa que esos 10 códigos de alguna manera nunca serán generados al azar por la clave de inicio TOTP? Ya que están usando un algoritmo estándar (usado por Google Authenticator, Authy, etc.), asumo que cada número de 6 dígitos es posible.
Alternativamente, ¿eso significa que con el tiempo, algunos de estos códigos se volverán inválidos, suponiendo que el algoritmo TOTP genere ese código? O incluso a más largo plazo, si inicio sesión muchas veces, me imagino que eventualmente encontraré uno de estos códigos, lo usaré para iniciar sesión y, sin saberlo, eliminaré ese código de mi lista de copias de seguridad.
¿Qué puede implicar una configuración en la que los códigos de recuperación de dos factores tengan el mismo número de dígitos que un código de dos factores estándar?