假设我在某个网站上有个人账户和工作账户,并严格在不同的设备和 ISP 上使用它们。如果我将两个账户的 2FA 连接到一个 2FA 应用的账户(例如 Authy),该网站是否有机会发现这两个账户都与我相关联,明确通过 2FA 应用?
附言:这里没有涉及特定的网站,只是想知道在我考虑使用 2FA 应用程序之前是否可行。
答案1
假设我在某个网站上有个人账户和工作账户,并严格在不同的设备和 ISP 上使用它们。如果我将两个账户的 2FA 连接到一个 2FA 应用的账户(例如 Authy),该网站是否有机会发现这两个账户都与我相关联,明确通过 2FA 应用?
该网站完全不知道您正在使用 Authy 生成 2FA,也不知道有关生成 2FA 代码的设备的任何信息。
为了使场景更加清晰,想象一下在我的 Android 上安装单个 Authy 帐户,并且该帐户与两个 Twitter 帐户相关联。Twitter 能否发现这两个 Twitter 帐户都与一个人相关联,仅仅因为它们都从我的 Android 上的同一个 Authy 帐户获取了 2FA 代码?
如果您有两个身份验证器,绑定到同一个 Authy 帐户,那么它们彼此完全独立。该网站完全不知道您实际上正在使用 Authy 来处理代码。您甚至可以在任意数量的设备上安装 Authy。
我认为,当谈到 2FA 时,您误解了身份验证器和帐户这两个术语,这是造成混淆的原因。
不,这绝对是假的。任何提供 2FA 身份验证的网站都无法检测您如何生成用于验证帐户的 2FA 代码。我其实没有感到困惑。
此外,您的开场陈述假设我有两个身份验证器,而我在问题中非常清楚地表明它涉及“单个 2FA 应用程序帐户”。这就是我继续澄清评论的原因。
但实际上你有两个独立的身份验证器,它们只是链接到同一个 Authy 帐户。我有 20 个不同的 Google 身份验证器,在多个设备上同步(Google 身份验证器、Microsoft 身份验证器、Last Pass 和 Authy)。
我的假设是每个 [此处为网站名称] 帐户都有自己的 Google Authenticator,并链接到同一个 Authy 帐户。您可以将“Google Authenticator”替换为该网站(和 Authy)支持的任何 2FA 身份验证器。