Questo dipende molto dal sito, dal livello di informazioni che vengono archiviate e dal TTL (time to live) per il record. Google tende a gestire molti account diversi per le persone: gmail, YouTube, blogger, account Android, cronologie di ricerca, contatti, calendari, ecc; tutte le cose che uno spettrale vuole. Allo stesso modo la loro app, Google Authenticator , cambia frequentemente le chiavi.
È probabile che il tuo sito fiscale vada per l'illusione della sicurezza, ma potrebbero avere una ragione legittima, se il fattore 2 è compromesso, ad esempio diciamo che stai utilizzando un'app sul telefono e che la tua e-mail va al tuo telefono e il tuo telefono viene rubato, quindi non importa molto per quanto tempo sono le passphrase. Tuttavia, se il TTL è lungo, se il sito non è attrezzato per bloccare una maschera DDoS per qualcuno che impone un account specifico, allora è una buona idea andare con una chiave più lunga. Se il sistema di credito è simile a quello degli stati, allora stanno cercando di proteggere la tua identità.
Se il TTL è breve, i numeri più brevi sono a posto. Quindi se hanno 30 secondi per indovinare un codice a 6 cifre, c'è meno possibilità di un incidente accidentale . La maggior parte dei server Web non consente il numero di connessioni al secondo necessario per forzare la password con una lunghezza superiore a pochi caratteri, a meno che non siano commerciali. I server commerciali tendono a consentire più connessioni simultanee allo stesso database.
Idealmente, il framework dell'applicazione noterebbe le intrusioni multiple tentate e blocca immediatamente l'account, quindi, ancora una volta, torna alla UX non troppo a lungo, ma non troppo breve.