He estado probando Authy , una alternativa de Google Authenticator con una función opcional de poder realizar copias de seguridad de tus tokens. Tienen dos tipos de tokens: tokens generados automáticamente y los tokens OTP normales que agregó al escanear un código QR (como lo haría en el Autentificador de Google).
Si entiendo correctamente , las copias de seguridad de sus tokens OTP estándar están encriptados con una contraseña antes de cargarlos en Authy. Su contraseña de respaldo no se envía a sus servidores, solo almacenan un blob de datos cifrados para usted. Suena bien hasta ahora.
Sin embargo, al configurar Authy en un nuevo dispositivo, noté que los tokens generados por Authy no parecen beneficiarse del mismo nivel de seguridad. Cuando configura Authy en una computadora nueva, puede obtener acceso a su cuenta a través de la verificación por SMS (algo que tienen criticado por ser inseguro). Ingresando un código de acceso de SMS lo iniciará y le dará acceso inmediato a sus tokens generados automáticamente (asumiendo que ha habilitado el soporte de múltiples dispositivos). Los tokens de autenticador aún están encriptados en este punto, y se pueden descifrar si ingresas la contraseña de respaldo.
¿Cuáles son las implicaciones de seguridad de esto? ¿El procedimiento de inicio de sesión basado en SMS no hace que los tokens generados por Authy sean vulnerables a la captura?