Specificamente per Google , se usi l'autenticazione a due fattori è sicuro "indebolire" la tua password "da una password di 16 caratteri con uno spazio di ricerca dell'ordine di 10 30 a una password di 8 caratteri con uno spazio di ricerca dell'ordine di 10 14 "purché si utilizzi una buona password di 8 caratteri (ossia completamente casuale e non riutilizzata tra i siti ).
La forza dell'autenticazione a due fattori consiste nell'assunzione che i due fattori richiedano diversi tipi di attacco ed è improbabile che un singolo attaccante esegua entrambi i tipi di attacchi su un singolo bersaglio. Per rispondere alla tua domanda, dobbiamo analizzare quali attacchi sono possibili su password più deboli rispetto a password più potenti e quanto è probabile che qualcuno che è in grado di attaccare password più deboli ma password non più lunghe attaccherà il secondo fattore di autenticazione.
Ora il delta di sicurezza tra "una password di 16 caratteri con uno spazio di ricerca dell'ordine di 10 30 " e "una password di 8 caratteri con uno spazio di ricerca dell'ordine di 10 14 "non è così grande come si potrebbe pensare - non ci sono molti attacchi a cui è vulnerabile la password più debole, ma quella più strong no. Riutilizzare le password è pericoloso indipendentemente dalla lunghezza della password. Lo stesso vale per MITM, keylogger e molti altri attacchi comuni alle password.
Il tipo di attacchi in cui la lunghezza della password è significativa sono gli attacchi di dizionario, ovvero gli attacchi in cui l'utente malintenzionato effettua una ricerca completa della password in un dizionario. Cercare tutte le password possibili nella schermata di accesso non è ovviamente fattibile per uno spazio di ricerca di 10 14 , ma se un utente malintenzionato ottiene un hash della tua password allora potrebbe essere possibile controllare questo hash per uno spazio di ricerca di 10 14 ma non per uno spazio di ricerca di 10 30 .
Qui è importante il fatto che tu abbia specificato Google nella tua domanda. Google prende sul serio la sicurezza delle password e fa ciò che serve per mantenere sicure le tue password hash. Ciò include la protezione dei server su cui risiedono le password con hash e l'uso di sale, pepe e stretching per contrastare un hacker che è riuscito in qualche modo a ottenere le password con hash.
Se un utente malintenzionato è riuscito a eludere tutto quanto sopra, cioè è in grado di ottenere il database Google di sali e le password hash e è in grado di ottenere il pepe segreto e è in grado di fare una ricerca esaustiva con un allungamento chiave su uno spazio di ricerca di 10 14 , quindi a meno che tu non sia il direttore della CIA che l'hacker non sprecherà tempo a hackerare il tuo telefono per aggirare il secondo fattore di autenticazione: saranno troppo occupati a hackerare centinaia di milioni di account Gmail che non utilizzano l'autenticazione a due fattori. Un hacker di questo tipo non è uno specifico per te - è qualcuno che prende di mira il mondo intero.
Se i tuoi dati sono così preziosi che un hacker così potente ti indirizzerebbe in modo specifico, in realtà non dovresti mettere i tuoi dati in Gmail in primo luogo. Del resto non dovresti metterlo su nessun computer connesso a Internet.