bene 2FA e gestori di password insieme sono puro caos.
ci sono alcune cose che devi sapere:
1) Di solito la password di tipo One (yubico OTP) / firma (U2F) basata su 2FA non può essere utilizzata per la crittografia. quindi possono solo impedire di ottenere il file sicuro, ma questo non aiuterà se un utente malintenzionato ha già accesso al file sicuro.
2) Lastpass può inviarti un link via email per disabilitare 2FA, quindi la protezione del tuo account di posta elettronica è una delle cose più importanti che puoi fare. Inoltre, quando ti connetti a un nuovo dispositivo e / o con un nuovo IP che sicuramente aiuta, puoi anche bloccare gli accessi da TOR e limitare il login solo ai Paesi in cui vai o che intendi.
3) in particolare a causa di 1 non è possibile utilizzare una password usa e getta, a differenza di altri servizi in cui l'autenticazione è necessaria laddove un secondo fattore lo rafforza enormemente e non è necessaria una password super-strong, ma piuttosto facile da ricordare (come 2FA = qualcosa sai + qualcosa che hai)
quindi, mettendo tutto questo in mente, avere un secondo fattore non è male, ma non dovresti fare affidamento su di esso, ma ciò che è più importante avere è una password sicura (prova ancora a usare qualcosa che tu ricorda, come una password basata su liste di vocaboli, più sotto) e un account di posta elettronica sicuro , quindi usa decisamente 2FA su questo. se hai un yubikey e usi GMail, U2F è un buon modo per farlo, è semplice da usare e sicuro (anche se ci sono alcune restrizioni)
per quanto riguarda le password basate su elenchi di parole, personalmente mi piace usare l'elenco di parole da 1password (basta scaricare la versione mac ed estrarla)
(basta aprire il .pkg con 7 zip e attraversare in questo modo:
1Password-6.8.3.pkgPassword.pkg\Payload\Payload~\.Password 6.app\Contents\Frameworks\AgileLibrary.framework\Versions\A\Resources\
e prendi il file AgileWords.txt
)
non hanno alcun problema quando qualcuno si diverte a farlo:
link
ed è una bella lista, dal momento che scriviamo questa risposta abbiamo 18328 parole, dando ad ogni parola circa 14 bit di entropia. usando 5 parole casuali ottieni circa 70 bit (supponendo che l'hacker sappia che usi questa lista e 5 parole da essa, ma ovviamente non quali parole), che è paragonabile a circa 11 caratteri casuali dei 94 caratteri Ascii stampabili, ma la memorabilità è molto più alta.
Raccomando di avere un buon generatore di casualità e di generare password con tutte le parole che ritieni necessarie finché non hai una password che pensi di poter ricordare e utilizzare.
sicuramente puoi anche generare una password veramente casuale di 11 caratteri ma mentre sono più brevi hanno i loro problemi:
1) un dolore da ricordare
2) un dolore per inserire tutti i caratteri speciali, anche peggio su un layout di tastiera diverso o sul telefono, le parole sono generalmente più facili da digitare
3) l'ipotesi di entropia è sempre basata sul caso peggiore (ovvero l'hacker sa come hai creato la tua password ma non la password stessa), a meno che l'hacker non sappia che stai usando una lista di parole, probabilmente creerà la bruteforce cracker per forzare semplicemente tutto quando quando diciamo che ogni parola ha una lunghezza media di 5 caratteri e aggiunge un segno meno o qualsiasi altro valore tra 5 e 5 = 29 caratteri, il che farebbe mettere un software brutoforcing di circa 190 bit, dandogli ancora più protezione contro la tua forza bruta media.
Ma c'è un'ultima cosa importante. anche la password più sicura può cadere in phishing, quindi assicurati di accedere sempre al sito lastpass giusto o usando l'applicazione lastpass. anche se il governo degli Stati Uniti (il paese in cui si trova lastpass) può forzare lastpass a phishing, e il tuo secondo fattore non sarebbe nulla per quelli, quindi usa i portafogli online con cautela se pensi che potresti essere un bersaglio per quelli.