È sicuro usare una password debole se ho l'autenticazione a due fattori?

Specificamente per Google , se usi l'autenticazione a due fattori è sicuro "indebolire" la tua password "da una password di 16 caratteri con uno spazio di ricerca dell'ordine di 10 ³⁰ a una password di 8 caratteri con uno spazio di ricerca dell'ordine di 10 ¹⁴ "purché si utilizzi una buona password di 8 caratteri (ossia completamente casuale e non riutilizzata tra i siti ).

La forza dell'autenticazione a due fattori consiste nell'assunzione che i due fattori richiedano diversi tipi di attacco ed è improbabile che un singolo attaccante esegua entrambi i tipi di attacchi su un singolo bersaglio. Per rispondere alla tua domanda, dobbiamo analizzare quali attacchi sono possibili su password più deboli rispetto a password più potenti e quanto è probabile che qualcuno che è in grado di attaccare password più deboli ma password non più lunghe attaccherà il secondo fattore di autenticazione.

Ora il delta di sicurezza tra "una password di 16 caratteri con uno spazio di ricerca dell'ordine di 10 ³⁰ " e "una password di 8 caratteri con uno spazio di ricerca dell'ordine di 10 ¹⁴ "non è così grande come si potrebbe pensare - non ci sono molti attacchi a cui è vulnerabile la password più debole, ma quella più strong no. Riutilizzare le password è pericoloso indipendentemente dalla lunghezza della password. Lo stesso vale per MITM, keylogger e molti altri attacchi comuni alle password.

Il tipo di attacchi in cui la lunghezza della password è significativa sono gli attacchi di dizionario, ovvero gli attacchi in cui l'utente malintenzionato effettua una ricerca completa della password in un dizionario. Cercare tutte le password possibili nella schermata di accesso non è ovviamente fattibile per uno spazio di ricerca di 10 ¹⁴ , ma se un utente malintenzionato ottiene un hash della tua password allora potrebbe essere possibile controllare questo hash per uno spazio di ricerca di 10 ¹⁴ ma non per uno spazio di ricerca di 10 ³⁰ .

Qui è importante il fatto che tu abbia specificato Google nella tua domanda. Google prende sul serio la sicurezza delle password e fa ciò che serve per mantenere sicure le tue password hash. Ciò include la protezione dei server su cui risiedono le password con hash e l'uso di sale, pepe e stretching per contrastare un hacker che è riuscito in qualche modo a ottenere le password con hash.

Se un utente malintenzionato è riuscito a eludere tutto quanto sopra, cioè è in grado di ottenere il database Google di sali e le password hash e è in grado di ottenere il pepe segreto e è in grado di fare una ricerca esaustiva con un allungamento chiave su uno spazio di ricerca di 10 ¹⁴ , quindi a meno che tu non sia il direttore della CIA che l'hacker non sprecherà tempo a hackerare il tuo telefono per aggirare il secondo fattore di autenticazione: saranno troppo occupati a hackerare centinaia di milioni di account Gmail che non utilizzano l'autenticazione a due fattori. Un hacker di questo tipo non è uno specifico per te - è qualcuno che prende di mira il mondo intero.

Se i tuoi dati sono così preziosi che un hacker così potente ti indirizzerebbe in modo specifico, in realtà non dovresti mettere i tuoi dati in Gmail in primo luogo. Del resto non dovresti metterlo su nessun computer connesso a Internet.

Una password debole + l'autenticazione a due fattori potrebbe essere ancora più sicura di una password complessa, ma sarà meno sicura di una password complessa + autenticazione a due fattori.

Dipende tutto da quanto sei debole: se vai fino in fondo e rendi la password insignificante, finisci con l'autenticazione a un fattore (il messaggio di testo di Google sul tuo telefono). Ma questo potrebbe essere ancora più sicuro della tua password complessa originale.

Prima di tutto il concetto fondamentale di TFA : - qualcosa che l'utente conosce (la password che stai usando) - qualcosa che l'utente ha (nel caso di google questo è il tuo telefono: ti inviano il codice di verifica sul numero di telefono, che hai fornito)

Prima di tutto devi capire che a giudicare da quello che hai detto:

But typing in those passwords all the time is a real hassle, especially on a phone or tablet.

questo significa che molto tempo stai usando gmail dal tuo telefono, quindi se ho rubato / o preso il tuo telefono per un po 'di tempo - il tuo TFA è diventato semplicemente OFA con la tua password. Ti dirò ancora di più che in alcuni paesi, se hai connessioni con persone che lavorano in aziende mobili e hai accesso appropriato, puoi semplicemente rilasciare a una persona il tuo numero di telefono. Un'altra cosa è che l'attaccante può intercettare il processo di autenticazione, con il quale intendo che un utente malintenzionato può semplicemente prendere il telefono quando si suppone di ricevere un messaggio. Dopo aver avuto questo paranoico, partirò da un'altra direzione

Pensaci un po '- TFA è stato usato molto tempo fa e utilizzato in questo momento con milioni di clienti ogni giorno, con lo spazio di 10000 (numero di 4 cifre). Questa è la tua carta di credito. Con quale frequenza è stata abusata la tua carta durante tutta la tua vita? Presumo non molto. E sono abbastanza sicuro che la maggior parte delle persone preferirebbe avere i tuoi soldi piuttosto che leggere la tua email.

Un altro punto: Google non è la compagnia peggiore e si assicura che i tuoi dati siano sicuri (se qualcuno non li dimostra, passeranno ai loro concorrenti che ne saranno sicuri). Quindi sono abbastanza sicuro che gestiscono tutto in modo corretto e il motivo per cui hanno implementato TFA è sfruttare le password basse.

Questo ci porta a uno dei problemi più importanti della sicurezza: le tue misure di sicurezza devono essere appropriate per il tipo di informazioni che stai cercando di mantenere segrete. Ogni volta che sento qualcosa del tipo: "Uso la password di 40 cifre per accedere alle mie previsioni meteo per domani" la mia domanda è: perché userò solo 123 come password? Che cosa accadrà se lo otterrò? Creerai solo un altro account. Quindi qual è il punto. Ovviamente questa è esagerazione.

Ma se pensi che la tua corrispondenza sia così importante che qualcuno continui a usare il tuo telefono e imporrà la forza bruta di 16 caratteri per ottenerlo, molto probabilmente Gmail non fa bene a te, così come molto probabilmente quello che cammina per strada anche senza guardia del corpo.

Hai strutturato la tua domanda come risposta.

Riesci a rilassarti? Sì. La distribuzione di un secondo fattore aggiunge sicurezza.

Sarei disposto a scommettere la retribuzione della settimana successiva che se aggiungi 2Factor e trascini la password da 32 a 31 caratteri, non hai perso la sicurezza di un margine apprezzabile. Non sono disposto a fare la stessa scommessa se si lascia cadere la lunghezza della password a 2 caratteri. Dov'è il confine? Quanti personaggi vale 2F? Questa è la domanda che voglio rispondere.

La domanda pertinente è quanto puoi rilassarti? Quanto resilienti sono ciascuna delle attenuazioni? Quanto indipendente? Queste sono le domande sui soldi.

Beh, si tratta di preferenze personali. Gmail non ha introdotto l'autenticazione in due passaggi, in modo che le persone possano utilizzare password deboli. È lì solo come un ulteriore livello di sicurezza. Sebbene ci sia una possibilità molto rara di mettersi nei guai con una password debole con la verifica in due passaggi. Esistono un elenco di codici di backup e password specifiche per le applicazioni, nel caso in cui l'utente non possa accedere al proprio telefono. Ma ancora avrei usato una password strong, anche se non quella che richiede milioni di secoli alla forza bruta, 20-30 anni sono sufficienti per me. ;)

Sì, in effetti, non rendere la password troppo facile, in modo tale che in pratica si finisce con l'autenticazione a un fattore (ad es. il token).

La vulnerabilità in questi schemi di password a due fasi è il canale di consegna, ovvero i provider wireless, le reti di routing SMS, il telefono. Ognuno di questi potrebbe essere attaccato per intercettare la password unica inviata da Google.

Ma gli attacchi contro gli account sono raramente strettamente tecnici e quasi sempre coinvolgono il gioco di alcuni umani da qualche parte nella catena.

Per quanto buono sia il sistema di Google, Wired esegue un articolo che descrive un attacco che annulla completamente le sue protezioni.

Gli aggressori hanno impersonato un titolare di un account wireless per aggiungere un numero di inoltro all'account, quindi selezionato l'opzione "chiamami" per far recapitare il codice, anziché gli SMS. Quando Google ha chiamato con l'OTP, la chiamata è stata inoltrata al telefono dell'utente malintenzionato e ha ottenuto l'accesso all'account Google.

È sicuramente una questione di fiducia, come sottolinea Henning, ma c'è un fattore importante da aggiungere:

Se l'autenticazione a due vie si basa su un'abbronzatura mobile, allora questo aggiunge solo un ulteriore livello di sicurezza se il telefono non accede al sito. Altrimenti anche se si tratta di due strati, è davvero solo uno. Indebolire uno non è quindi una buona idea.

Modifica: ho appena visto che CodesinChaos ha già postato questa risposta.

Se non vuoi digitare la password ogni volta puoi utilizzare un gestore di password come Keepass che ha una funzione di tipo automatico. Ora tutte le mie password sono diverse e almeno 20 caratteri di tipo "randoms".

Gmail e Dropbox utilizzano OTP (password una tantum) come secondo fattore consegnato a un telefono cellulare o calcolato su un dispositivo di tua proprietà - "ciò che hai". Questo è molto più sicuro di una password memorizzata - "quello che sai".

Come fai notare, l'unico scenario è: 1. Quello che hai - cellulare o fob che genera o riceve l'OTP - viene perso o rubato. 2. La password debole - quello che sai - è azzeccata o forzata in N tentativi 3. Il generatore OTP e / o il meccanismo di login non negano l'accesso prima di N tentativi.

Ad esempio, uno dei miei clienti ha accesso VPN remoto - con ID di accesso come email (molto facile da indovinare) e password composta da PIN a 4 cifre concatenato con un OTP a 6 cifre. Se il mio telefono con il generatore OTP dovesse essere rubato, il ladro avrebbe bisogno di indovinare il PIN di 4 cifre. Se l'accesso remoto scade dopo 5 o 6 tentativi, la matematica dice che sarebbe abbastanza sicuro.

Questo meccanismo sarebbe esattamente equivalente a un PIN sul telefono che nessuno conosce. Se utilizzi Gmail per app o Exchange, potresti voler applicare una norma PIN sul tuo telefono cellulare, negando l'accesso al messaggio di testo OTP o al generatore.

Conclusione: password debole (almeno 4 caratteri / cifre) e OTP (token a due fattori di 6 cifre) fornirebbe una maggiore protezione contro la forza bruta rispetto a una password complessa di 10 cifre. Tuttavia, ciò non sarebbe efficace a condizione che la password debole possa essere socialmente indovinata da qualcuno che può anche avere accesso al proprio telefono cellulare o FOB che non è protetto con un PIN. cioè un amico malintenzionato che conosce la tua data di nascita (password debole) e ha anche accesso al tuo telefono cellulare non protetto.

Potresti usare Keepass invece, che è stato trasferito su vari dispositivi mobili. Configuralo in modo che tu debba inserire una password strong (o più debole, dal momento che il database è locale) una volta tanto e farlo inserire automaticamente le password complesse ad es. gmail.

Se il tuo dispositivo supporta le tastiere USB-A, potresti anche considerare l'utilizzo di un Yubikey (nano ) con una password statica (o predefinita Modalità OTP , ad es. collegato a LastPass ). Quindi il tuo unico inconveniente (e ancora la sicurezza) sarebbe spingere il piccolo pulsante su di esso.

modifica Poiché Yubikey NEO ha il supporto NFC, puoi anche usarlo sui rispettivi telefoni . Ho trovato alcune istruzioni sull'utilizzo di LastPass qui