La 2FA è davvero necessaria con password ad alta entropia?

Un confronto migliore è come avere una guardia dentro una porta chiusa a chiave. Se perdi la chiave, la guardia può comunque impedire a qualcuno che non sei di entrare. Non è possibile garantire che anche la password più sicura non venga compromessa a causa di alcuni attacchi.

Avere più fattori, in particolare uno che non viene mai condiviso direttamente, aggiunge un intero livello aggiuntivo di sicurezza. Guadagni ancora molto dall'autenticazione a due fattori e ne hai ancora bisogno per lo stesso motivo per cui non usi una password debole quando usi l'autenticazione a due fattori.

La migliore sicurezza sta usando una versione strong di entrambi. Semplicemente non ci preoccupiamo di tre fattori, perché mentre uno sarebbe facile da compromettere, due sarebbero molto più difficili da compromettere allo stesso tempo e se ne possono ottenere due contemporaneamente, tre non è molto più difficile.

Puoi avere la password più strong disponibile e forse la usi per accedere ad Adobe. E poi, ecco, le password crittografate di Adobe ( BAD ADOBE! BAD! Dovresti usare PBKDF2, Bcrypt o Scrypt per le password di hashing, non li cifri!) Sono tutte trapelate. Se gli aggressori avessero rubato anche la chiave di crittografia per tali password, l'utente malintenzionato avrebbe già la tua password lunga e casuale.

Se anche tu avessi l'autenticazione a due fattori di un certo tipo, allora mentre gli aggressori potevano entrare immediatamente in milioni di account di altri utenti, avrebbero un altro strato da violare prima di poter ottenere il tuo.

Ovviamente, dovresti comunque cambiare la password ovunque la usi.

La lezione: non presumere mai che i tuoi "siti fidati" abbiano buone pratiche di archiviazione delle password. Adobe no. Sony no.

Le cose usate per autenticare sono in genere "qualcosa che conosci" (una password), "qualcosa che hai" (una chiave fisica, un ID) o "qualcosa che sei" (impronta digitale, impronta, voce, ecc.)

L'idea alla base dell'autenticazione a due fattori consiste nell'utilizzare due di questi domini anziché uno.

Non importa quanto sia complicata la tua password a un fattore, se la prendo, sono dentro. Se mi richiede di inserire un codice inviato a un cellulare, allora richiede il possesso di quel telefono (o capacità di intercettazione del suo Messaggi SMS, che vanno oltre il mio modello personale di minaccia) QUANTO BENE come quella password, è ovunque leggermente più difficile (per un collega, compagno di stanza, ecc.) Praticamente impossibile (qualcuno a meno di 1 km di distanza). Se richiede la password + una password token, allora ho bisogno di possedere il token, la stessa idea, ecc ...

Come bonus a due fattori offre una certa protezione contro password sbagliate.

Come utente, non posso compromettere me stesso da un singolo errore (perdita della password, perdita del telefono o del token). In qualità di amministratore, ho un livello molto più elevato di fiducia che l'utente è quello che dichiara di essere.

Gli attacchi di riproduzione, btw, possono essere prevenuti con schemi di password monouso a fattore singolo (S / KEY), che non vedo molto spesso in questi giorni.

Inoltre, per quanto riguarda i tuoi "soli siti di cui mi fido" - solo perché ti fidi di qualcosa non significa che non dovresti proteggerti.

2FA non è uguale a una password il doppio della lunghezza.

2FA significa che ci sono due cose diverse che ti proteggono, avere uno è un singolo punto di errore.