Supongamos que tengo un dispositivo móvil con Google Authenticator que usa TOTP, que uso cada vez que inicio sesión en mis cuentas personales.
Si quiero agregar un segundo dispositivo. Necesitaría tener acceso al token secreto. Pero si no lo tengo, necesito deshabilitar la autenticación de 2 factores durante un par de minutos y luego volver a habilitarla para activarlo en mis dos dispositivos.
Otro método sería almacenar mi clave secreta, por lo que en caso de que la necesite en el futuro, no tendré que deshabilitar la autenticación de 2 factores
Así que mi pregunta es:
¿Cuál es más seguro?
- Desactive la autenticación de 2 factores y vuelva a habilitarla cada vez que agrego un nuevo dispositivo (lo que le permite al posible atacante un período de tiempo para acceder a mis cuentas personales)
- Guarde las claves secretas en un lugar seguro y utilícelas cada vez que agrego un nuevo dispositivo sin necesidad de desactivar la autenticación de 2 factores (un atacante podría potencialmente robarlos)