Yo trabajo para 1Password y escribí exactamente sobre esta pregunta cuando introdujimos la característica.
La respuesta depende de las propiedades de seguridad que realmente desee de TOTP. La "segunda realidad" de TOTP es una de las varias propiedades de seguridad que ofrece, y puede ser la menos importante en muchos casos. No se deje engañar porque todo esto se incluye en el término "2FA", como si ese fuera el único beneficio de seguridad que obtiene de estos esquemas.
Beneficios de seguridad de TOTP (en contraste con el uso típico de contraseña)
Por lo tanto, voy a enumerar algunas de las propiedades de seguridad que obtienes con TOTP y las contrastaré con el uso de contraseña típico .
-
El secreto a largo plazo no se transmite durante la autenticación. Con TOTP, obtenga un secreto a largo plazo que solo se transmite (generalmente el código QR) cuando se inscribe. El secreto a largo plazo no se transmite cuando se usa realmente. (Esto es a diferencia del uso típico de contraseñas donde la contraseña se transmite a través de la red y, por lo tanto, depende de otras protecciones, como TLS). Esto también significa que el secreto a largo plazo no se puede eliminar (aunque los códigos numéricos pueden ser).
-
El secreto a largo plazo es indiscutible . El secreto a largo plazo lo genera el servidor cuando se inscribe por primera vez, por lo que se genera según los estándares de aleatoriedad del servicio. Nuevamente, esto es diferente al uso típico de contraseñas con contraseñas creadas por humanos.
-
El secreto a largo plazo es único. No terminará reutilizando el mismo secreto a largo plazo de TOTP en varios servicios. Nuevamente, esto es diferente al uso típico de contraseñas, donde las personas reutilizan contraseñas.
-
Oh, sí. Y pones el secreto a largo plazo en "algo que tienes", si por alguna razón eso es importante para ti.
En la mayoría de los casos en los que se implementa TOTP, se hace así debido a las propiedades # 2 (unguessability) y # 3 (uniqueness). De hecho, cuando Dropbox introdujo TOTP en sus servicios, deletreado explica sus razones para ayudar a proteger a los usuarios que reutilizaron contraseñas.
Después de la singularidad y la indecisión de los secretos a largo plazo, el siguiente beneficio más importante (para la mayoría de las personas) es que el secreto a largo plazo no se transmite. Esto hace que sea más difícil de capturar en una red comprometida.
Probablemente, la menos importante de las propiedades de seguridad que nos brinda TOTP es la segunda realidad. No estoy diciendo que no haya beneficios, pero para los casos en que la mayoría de las personas usan TOTP, es probablemente el menos importante.
En contraste con el uso de un administrador de contraseñas.
En lo anterior, enumeré cuatro propiedades de seguridad de TOTP y las contrasté con el uso típico de contraseña. Pero ahora consideremos a alguien que está utilizando un administrador de contraseñas en todo su potencial. Si está utilizando un administrador de contraseñas bien para algún sitio o servicio4, tendrá una contraseña generada aleatoriamente (y, por lo tanto, impensable) para ese sitio y tendrá una contraseña única para ese sitio. Y así, el uso de TOTP realmente no agrega mucho en términos de esas dos propiedades de seguridad.
Si observamos la propiedad # 1 (el secreto a largo plazo no se transmite), TOTP aún ofrece cierta seguridad adicional, incluso si está utilizando un administrador de contraseñas. Sin embargo, el uso de un administrador de contraseñas reduce la posibilidad de realizar phishing, por lo que la ganancia de TOTP, si bien es real, no es tan grande como lo sería para alguien que no usa un administrador de contraseñas.
Lo único que queda es el # 4. Si las dos circunstancias realmente son la razón por la que valoras el TOTP, entonces no mantengas el secreto a largo plazo en 1Password. Pero para la mayoría de las personas, el valor de TOTP proviene de tener un secreto fuerte y único a largo plazo que nunca se transmite.
Mira las propiedades de seguridad reales
Le recomiendo que evalúe lo que realmente obtiene de TOTP (en lugar de quedar atrapado en toda la retórica de 2FA), y luego considere las compensaciones. Apuesto a que si cosas como TOTP se llamaran "Autenticación secreta única" en lugar de "Autenticación de dos factores", la pregunta nunca habría surgido.