Cuando habilita MFA para muchos servicios populares, le brindan un 10% de recovery codes
que le permitirá deshabilitar o actualizar temporalmente su configuración de MFA con su servicio en caso de que pierda, le roben o simplemente deje de funcionar.
¿Pero por qué generan 10 códigos? Para mí, es contraintuitivo que se genere más de un recovery code
.
¿No se debilita la seguridad por el hecho de que hay 10 códigos, no uno? Si solo hay un código, el atacante debe "adivinar" ese código en particular de todas las posibilidades. Pero si hay 10 códigos, un atacante solo necesita adivinar 1 de los 10 de todas las posibilidades que entiendo como un aumento de diez veces en la probabilidad de un ataque exitoso.
¿Alguien puede arrojar algo de luz sobre el razonamiento detrás de esto?