2FA应用程序是否需要认证才能授予对2FA令牌的访问权？

Question

我不知道2FA的理论背景，所以我在这里问。

我以前使用过一些2FA应用程序，包括Duo和Steam (卫队)。当Duo被打开时，它将显示您的令牌，但使用蒸汽，您的守护令牌将显示在您是否登录。卫队的行为引起了我的注意，因为我希望先登录才能看到令牌，因为令牌与注册使用服务的Duo不同，它与我的帐户绑定在一起。尽管如此，Duo可以使用主密码( la LastPass)来进一步保护令牌。

因此，我的问题是，2FA (特别是移动应用程序)背后的工作方式是否考虑是否应该在2FA应用程序上对用户进行身份验证才能访问令牌？

我的理论是，安全级别与SMS 2FA一样，您可以假设只有真正的用户才能访问令牌，因为他们知道手机的锁定屏幕引脚。在该系统中，电话是认证者，并通过知道锁定屏幕引脚来授予独占访问权限。但是对于2FA应用程序，应用程序是身份验证者，但无法提供独占访问。任何能够访问该应用程序的人(想象一下共享的手机，其中2+的人知道锁屏幕引脚)都可以访问这些令牌。

Answer 1

问题是你在保护什么。2FA令牌保护帐户的密码。其思想是密码由令牌保护。您不能只使用令牌登录，您需要密码作为主要身份验证方法。

2FA令牌没有公开的原因(而不是被‘保护’)是，如果暴露任意，那么他们削弱了他们提供的保护水平。令牌受到某种级别的保护，但仅限于密码受到的威胁。

如果2FA是一个主要的认证因素，那么将有稍微不同的保护为其设计。

Answer 2

不，这没必要。第一个因素(他们知道的东西)是他们试图登录的帐户的密码，第二个因素(他们有的东西)是手机上有2FA应用程序。在上面加一个密码是他们所知道的，所以这只是第一个因素，而不是一个额外的因素。