No creo que sea una idea tan mala como supones. Piense acerca de las amenazas contra las que está tratando de protegerse mediante el uso de TOTP, y piense en qué escenarios de ataque se hacen más fáciles (o no) si almacena la semilla TOTP en su contraseña segura.
Con la semilla en su base de datos de contraseñas, TOTP seguirá protegiéndose contra:
- Violaciones de la contraseña del sitio web donde tiene su cuenta
- Registradores de teclas en computadoras que no son de confianza (en las que asumo , no ejecutará su administrador de contraseñas, sino que leerá una contraseña de un dispositivo confiable y la escribirá manualmente)
- Capturas de red en redes WiFi abiertas, etc.
- Phishing / ingeniería social de you , el usuario
Las cosas que NO están protegidas incluyen:
- Ingeniería social del servicio al cliente / soporte técnico del propietario del sitio web
- Una base de datos de contraseñas robadas y una contraseña maestra
El primer caso no puede ser ayudado sin importar dónde esté almacenada su semilla TOTP. El segundo caso merece alguna consideración adicional. Específicamente, ¿cómo pueden violarse su base de datos y contraseña maestra? O bien:
- El atacante obtiene una copia de su base de datos del almacenamiento en la nube, o una copia de seguridad descartada, y rompe su contraseña maestra. Una contraseña maestra fuerte (más de 80 bits de entropía) y una implementación segura de un KDF por parte de los desarrolladores del administrador de contraseñas deberían evitar completamente este ataque.
- El atacante coloca malware en su máquina, que está diseñado específicamente para dirigirse a su administrador de contraseñas. Pero considere: si tiene este tipo de malware en su máquina, ¿por qué no escribir malware para secuestrar una sesión del navegador? ¿O forzar la instalación de una extensión de navegador para robar toda la información deseada? ¿O instalar un certificado personalizado para permitir un ataque MITM? ¡Una extensión del navegador incluso podría mostrar páginas para que parezca que simplemente inicias sesión nuevamente en el sitio, mientras que en realidad estás proporcionando las credenciales necesarias para desactivar 2FA por completo!
Ahora, algunas advertencias: hay un malware ya hecho (o al menos un código de prueba de concepto) que ya puede apuntar a administradores de contraseñas específicas. No tengo conocimiento de ningún malware preparado que tome control de forma interactiva de una cuenta para deshabilitar 2FA.
Pero el punto es que el escenario único en el que la semilla TOTP le causa problemas, es un escenario que también causa problemas incluso si su semilla TOTP se almacenó en otro lugar . Teniendo esto en cuenta, no he visto ningún argumento convincente para no mantener el código TOTP en mi administrador de contraseñas, especialmente para los administradores de contraseñas que pueden usar la semilla TOTP para generar los códigos para usted en lugar de Autenticador, Authy, etc. p>