Suppongo che sia stato considerato a un certo punto, e che ci sia una buona ragione per non farlo, sono solo curioso di sapere perché. Sono sicuro che ci sono molte persone che faticano a ricordare una singola password per un sito, ma a parte questo, richiederebbero due o tre password per accedere a un sito web davvero per migliorare la sicurezza, oppure ottenere un vantaggio simile semplicemente aumentando la complessità della password?
Dipende da cosa intendi per "migliorare la sicurezza". Da un lato, sì, sono più informazioni da rubare per un ladro, ma d'altra parte, se possono rubare una password, è probabile che possano rubare tutte le password.
Per una discussione approfondita sull'autenticazione a più fattori, consulta questa risposta . di @tylerl .
Le note di Cole sono: ci piace avere più elementi di autenticazione che
fall under different categories with respect to "something you have", "something you are", and "something you know".
Avere elementi di autenticazione da più di una categoria (es .: una password e un'impronta digitale, o una password e un codice SMS sul telefono) è propriamente chiamato autenticazione multi-fattore , pur avendo più gli elementi della stessa categoria sono chiamati autenticazione mutli-step .
Rubare "qualcosa che conosci" in genere richiede l'installazione di un keylogger o di uno sniffer di file sul tuo computer, guardando la tua password, rubando la carta su cui hai scritto, ecc.
rubare "qualcosa che hai" in genere richiede di sollevare qualcosa dal tuo ufficio, dopo ore, rubando la tua borsa del computer portatile con il token della chiave gen in esso, ecc.
rubare "qualcosa che sei" in genere richiede un qualche tipo di accesso ai dati biometrici.
Quindi avere più elementi della stessa categoria aggiunge una barriera alcuni al furto, ma non molto da quando rubare tutte le password non è molto più difficile che rubare una password, rubare tutti gli oggetti fisici non è molto più difficile di rubare un oggetto fisico, ecc. Di solito l'inconveniente supera di gran lunga la sicurezza aggiunta. È molto meglio richiedere ai ladri di eseguire un furto di dati e un furto fisico, ecc.
Il problema principale con l'implementazione di password multiple è che gli utenti tendono a non ricordare una password, e aggiungerne altre rende più probabile che inizieranno a scriverle ognuna, eliminando la sicurezza.
Inoltre, anche se non lo scrivono, c'è ancora un singolo punto di errore e le password multiple non ti proteggeranno dai modi più comuni di rubarle, di essere spacciato, Man-in-the-Middle e un database.
In terzo luogo, che cosa impedisce a un utente di utilizzare Passw0rd, Pa $$ word e P @ ssword o qualcosa di simile lungo quelle linee? Saranno molto propensi a utilizzare varianti della stessa password o utilizzare la stessa combinazione utilizzata su un sito Web diverso che implementerebbe la stessa cosa.
Le password complessive non sono così sicure come la maggior parte della gente pensa, e sono principalmente presenti come ostacolo per le minacce comuni, ma non sono assolutamente perfette. L'implementazione del concetto di password multiple che fa sembra aumentare la sicurezza è 2FA.
Avere una doppia / tripla password rende il processo di login più complicato per gli utenti e non offre alcuna sicurezza aggiuntiva perché una volta che la macchina client o il server viene compromessa, l'utente malintenzionato ha accesso a tutte le password; non fa alcuna differenza se l'utente ha una o due o tre password per accedere.
Ciò che effettivamente aumenta la sicurezza è l'autenticazione a più fattori.
Tieni presente che una "domanda segreta" oltre a una password non è un'autenticazione a più fattori.
Leggi altre domande sui tag passwords