Tengo entendido que si usa Authy, sin opciones de copias de seguridad / dispositivos múltiples, ninguna de sus claves de cuenta se almacenará en sus servidores. Todo reside en su único dispositivo.
Es decir, incluso si los servidores Authy son pirateados y todos sus datos están comprometidos, y el atacante conoce su contraseña de Gmail, no podrá acceder a su cuenta de Gmail porque no conoce sus "claves de Google 2FA".
Si usa el modo de múltiples dispositivos en Authy, ¿sigue siendo cierto?
Leyendo la publicación de su blog ( enlace ) y la descripción de la funcionalidad, sospecho que no. Para que sus dispositivos múltiples se sincronicen entre sí, sus servidores backend deberán conocer su clave de gmail 2FA y redistribuirla a todos sus dispositivos según sea necesario. Esto implica que si sus servidores son pirateados y sus datos se ven comprometidos, su cuenta de gmail también se verá comprometida.
¿Mi suposición es precisa? Si un atacante conoce mi contraseña de gmail y también puede piratear el servidor / base de datos de Authy, y estoy usando la opción de múltiples dispositivos, ¿el pirata informático podría acceder a mi cuenta de gmail?