Al configurar 2FA con Authy, la mayoría de los sitios web le dan un código QR para escanear.
¿Sería correcto decir que debe tratar este código QR de forma segura? Si se filtró este código o una imagen de él, no hay nada que impida que otra persona configure 2FA en otro dispositivo sin que usted lo sepa, ¿verdad?
Es absolutamente necesario que consideres el código QR en secreto.
Para 2FA (es decir, TOTP), el código QR tiene un secreto compartido incrustado, que es básicamente lo que hace que TOTP funcione (consulte enlace ).
OTP (HOTP y TOTP) básicamente dependen de HMAC, y el secreto compartido se usa como clave HMAC.
La diferencia entre los dos tipos de OTP es más o menos lo que se obtiene con HMAC'ed: para TOTP, una marca de tiempo, y para HOTP, un contador.
Lea otras preguntas en las etiquetas multi-factor qr-code