L'autenticazione a due fattori riduce la necessità di una password lunga? [duplicare]

16

Di recente ho attivato l'autenticazione a 2 fattori su un numero di app Web, principalmente utilizzando Google Authenticator. Ciò significa che l'importanza di una password complessa su ciascun sito è ridotta? Preferirei usare password facili da digitare su un dispositivo mobile, se ciò non compromette troppo la sicurezza.

Modifica

La mia particolare esigenza di voler abbreviare / semplificare le password è circa il tempo necessario per inserire la punteggiatura su un tablet / telefono: 3 tocchi (,!,) e 2 per una lettera maiuscola. Da queste risposte, sto pensando che un approccio migliore sarebbe una password più lunga composta solo da lettere minuscole e minuscole, possibilmente con lettere ripetute. (Jamming 'kkkkk' alla fine di una password probabilmente lo renderebbe un po 'più strong, pur essendo molto veloce da inserire.)

[nota: inizialmente l'ho postato su Superuser perché il blurb di questo sito dice che è per "professionisti della sicurezza delle informazioni"]

    
posta Steve Bennett 29.01.2014 - 13:06
fonte

4 risposte

8

È una nozione molto soggettiva, e le risposte a questo saranno in gran parte basate sull'opinione pubblica. La risposta è fondamentalmente: Kinda.

Per espandere:

  • 2FA aumenta in modo significativo il tempo necessario per penetrare in un sistema, quindi una vista potrebbe essere quella di ridurre la qualità di qualsiasi password, a condizione che, nel complesso, abbia comunque aumentato la difficoltà di entrare.
  • Un'altra vista IMO altrettanto valida è che, poiché 2FA non rende l'accesso in modo più difficile o complicato, diminuire la qualità di una password, quando si è già abituati a usare le password, sarebbe sciocco, perché è una diminuzione in sicurezza non hai bisogno di fare .
  • Tieni presente che la maggior parte dei sistemi 2FA necessiterà di un sistema di backup da utilizzare se il generatore di token 2FA, che si tratti di un telefono, di un telecomando o di altro, non funziona. Google, ad esempio, può inviare messaggi a un altro telefono o utilizzare codici di backup monouso. In questo caso, avere una buona password è un utile fattore aggiuntivo di protezione, dato che non avere per usare la 2FA.

In generale, direi che dovresti comunque usare una buona password, per evitare eventuali vulnerabilità che emergono nella 2FA o nel resto del sistema nel suo complesso.

    
risposta data 29.01.2014 - 13:19
fonte
19

Per lo più, l'autenticazione a due fattori riduce la necessità di password complesse allo stesso modo in cui le cinture di sicurezza nelle automobili riducono la necessità di efficienti freni. Quando guidi la tua auto, la tua probabilità di essere ucciso durante un determinato viaggio è la probabilità che tu abbia un incidente, moltiplicato per la probabilità di essere ucciso quando si verifica un incidente. I buoni freni riducono la prima probabilità, mentre la cintura di sicurezza riduce la seconda probabilità. Per una data probabilità di morire, se aumenti la cintura di sicurezza (ad esempio fissandola, rispetto a non fissarla), puoi tollerare una frenata meno efficace.

La relazione tra i fattori di autenticazione è in qualche modo simile. Si utilizza 2FA in modo che l'errore di un fattore non conceda l'accesso agli autori di attacchi. Quindi se una password è un fattore, il secondo fattore può salvare la skin se la password risulta essere debole.

Un esempio estremo è una smart card : la maggior parte delle carte bancarie utilizza un codice PIN di 4 cifre, che, per un password, è pateticamente debole. Tuttavia, la scheda si bloccherà automaticamente dopo 3 codici PIN errati, rendendo tollerabile una password così scarsa. Il "secondo fattore" qui è la proprietà fisica della carta: gli attaccanti non possono provare i codici PIN senza avere la carta in mano e parlare con la carta, nell'ambito della regola 3-codici errati.

In definitiva, la scelta spetta a te, basata su un'analisi del rischio. Personalmente, allaccio le cinture e tengo i miei freni in buone condizioni; il che significa che quando uso 2FA, non si tratta di consentire l'uso di password scadenti a un livello di rischio invariato, ma di integrare buone password per un livello di rischio molto più basso.

    
risposta data 29.01.2014 - 21:01
fonte
2

Dipende dall'attacco di cui sei preoccupato, ma non proprio. Un attacco offline contro l'hash della password non sarà più sicuro poiché il secondo fattore non è un componente del controllo dell'hash. D'altro canto, previene efficacemente gli attacchi online, ma gli attacchi online potrebbero essere prevenuti efficacemente da un semplice limite al numero di tentativi prima di bloccare l'account.

Quindi, l'unico attacco che DOVREBBE essere efficace anche contro una password debole è un attacco offline poiché i metodi online non dovrebbero permettere di indovinare e per un attacco offline, il secondo fattore non fa nulla per impedire la compromissione della password.

Inoltre spaventoso, se la tabella hash viene compromessa per un attacco offline, esiste anche una ragionevole possibilità che i dispositivi HOTP e TOTP siano probabilmente compromessi in quanto le chiavi potrebbero fuoriuscire dalla stessa tabella. Se hai una password sicura, ti verrà comunque offerto un livello di protezione poiché l'hash sarebbe di valore limitato per l'utente malintenzionato, ma una password debole potrebbe essere rapidamente interrotta e l'utente malintenzionato potrebbe accedere al tuo account.

    
risposta data 29.01.2014 - 15:25
fonte
-1

Ok. No, la verifica in due passaggi sicuramente non riduce la necessità di una lunga password. Devi mantenere la password lunga e utilizzare numeri, lettere, lettere maiuscole e segni di punteggiatura. Solo perché la verifica in due passaggi non significa che lo ha reso abbastanza sicuro da prevenire il sequestro. Devi anche cambiare frequentemente la tua password.

    
risposta data 30.01.2014 - 05:50
fonte

Leggi altre domande sui tag