Authy 2FA最佳实践

Question

我已经为OTP令牌使用了一段时间的authy移动应用程序，但是关闭了备份/同步。我注意到他们有一个桌面应用程序，这在大多数情况下会方便得多，但我想知道他们的实现是否有任何安全研究，这是否一个好主意。

看起来，为了使用桌面应用程序，您必须启用authy在设备之间的同步。这看起来和密码管理器完全一样--设备之间的OTP种子同步，用主密码加密，与我随机生成的1 password密码相同。无论如何，我可能会将authy主密码存储在1 password中，这样我就不必记住一个新的安全密码。

所以我的问题是，这是值得使用的，还是仅仅关闭2FA是一样的，因为它几乎是相同的数据模型，而不再是独立的第二个因素？

Answer 1

坦白地说，我是Authy的解决方案架构师，对我们的产品非常熟悉。:)

首先，绝对不要关掉2FA！使用2FA防止的真正用例是有人破坏了网站的数据库，并使用登录/密码组合运行。始终使用2FA！

启用2FA后，还会通知您有人试图登录，您随后可以拒绝他们的访问。如果您关闭2FA，您将不会得到通知，并将无法拒绝他们的访问。

关于您的同步问题，请允许我再次保证，我们已经考虑了许多这些问题，并有了一个可靠的技术解决方案。

首先，同步是可选择的(正如您已经注意到的)。其次，这些设备之间的Authy OTP种子是不同的。下面是Authy桌面应用程序和Authy iPhone应用程序的并排图像。注意，值是不同的！

存储在Authy中的Google身份验证种子将是相同的，因为它们只有一个种子值，需要存储和共享。这是Google身份验证方法的一个限制。这些种子值是通过备份密码加密的。

如果您的手机丢失或被盗，您可以禁用该设备的访问通过您的任何其他设备。

有关Authy的多设备支持的安全性的更多信息，请查看这个Q/A交换：奥西-我的备份是否仅由我的密码或2 2FA妥善保护？

希望这能有所帮助！如果你还有什么问题请告诉我。

干杯，-乔希@奥西

附注：我也使用1 password，并使用相当粗糙的密码进行备份和同步。

Answer 2

作为柯尼利诺笔记，这不是真正的第二个因素。

然而，对于大多数人来说，它已经足够接近用例了，而且肯定比只依赖密码安全得多。

为了首先设置Authy，您可以使用需要通过电话/短信确认“第二个因素”，这也不是真正的第二个因素。但是，对于大多数用例来说，也足够接近了。

任何获得您的Authy密码访问权限的攻击者都需要拦截电话/SMS身份验证，因此我认为它仅在密码上就增加了很大的安全性。