¿Cómo puede Authy usar Google Authenticator QR?

El uso de aplicaciones que no sean Google Authenticator no es, por sí solo, un riesgo para la seguridad, siempre y cuando confíes en esas aplicaciones.

El propósito de 2FA es demostrar que tienes algún objeto físico (en este caso, tu teléfono), además de saber algo (la contraseña). Esto hace que sea más difícil para un atacante comprometer su cuenta, ya que es menos probable que conozcan su contraseña y tengan su teléfono simultáneamente.

El protocolo TOTP utilizado por Google Authenticator básicamente funciona así (para obtener más información, consulte RFC # 6238 ):

1. Escaneas un código QR que contiene algún secreto. El sitio le proporciona este secreto, y también lo almacena del lado del servidor (preferiblemente encriptado, en un HSM , o en algunos otro almacenamiento "razonablemente seguro"; RFC # 4226 tiene alguna discusión interesante sobre las dificultades aquí).
2. Cuando necesita una nueva contraseña única (OTP), realiza una operación criptográfica (un HMAC ) basado en el secreto y la hora actual.
3. Esa operación criptográfica produce un valor que se puede convertir en una OTP. Usted proporciona esa OTP al sitio web, que genera una OTP mediante el mismo proceso.
4. Si su OTP proporcionada coincide con la OTP que genera el sitio web (o la OTP habría generado algunos pasos de tiempo en el futuro o en el pasado, para permitir el sesgo del reloj), entonces se acepta. De lo contrario, es rechazado.

Este es un estándar abierto, y por diseño, cualquiera puede implementar cualquiera de las dos (cliente o servidor). Sin embargo, una implementación de cliente malintencionada podría entregarle los secretos a un atacante, quien luego podría suplantarlo para propósitos de 2FA, por lo que solo debe usar aplicaciones de cliente en las que confíe.

Dicho todo esto, tengo algunas reservas bastante fuertes sobre Authy en particular. La última vez que lo investigué, almacenó el secreto del paso (1) en la nube de forma predeterminada. La intención es que sea por conveniencia, de modo que si pierde o reemplaza su teléfono, no tendrá que reconfigurar TOTP en todas sus cuentas.

Pero también significa que está derrotando el propósito principal de 2FA: ya no está demostrando que ambos tienen algo y saben algo. En cambio, está demostrando que sabe algo (su contraseña) y se ha autenticado con otra persona (el almacenamiento en la nube de Authy). Este es un modelo de seguridad más débil porque hace que Authy sea un punto de falla para todos los demás sitios.

El formato de Google Authenticator es un formato estándar conocido como TOTP o HOTP (dependiendo de si se trata de una implementación basada en el tiempo o basada en HMAC). El código QR es solo un URI codificado que contiene todo lo necesario para que una aplicación configure el contador con el secreto de inicio. Por ejemplo: otpauth://totp/Example:[email protected]?secret=JBSWY3DPEHPK3PXP&issuer=Example es lo que realmente contiene el código QR, que tiene el nombre de usuario, así como la clave secreta utilizada.

enlace