L'autenticazione a due fattori è molto più difficile da rompere della semplice password e i generatori di token diventano sempre più forti. Perché siamo preoccupati per la qualità e la rotazione delle password quando possiamo semplicemente usare 2FA e averne finito? Funziona abbastanza bene per l'industria dei videogiochi nell'impedire gli account rubati. Perché non è abbastanza buono per il posto di lavoro?
Two factor authentication is so much harder to break than just a password, and token generators are getting stronger and stronger.
Dipende interamente dal tuo metodo 2FA consentito dall'org.
Se la tua organizzazione consente SMS per 2FA, ha vulnerabilità ben documentate come invitare il fornitore di servizi e in sostanza rubare il numero di telefono per ricevere SMS OTP a: link (2:29)
E / o attaccare i protocolli direttamente come lo sfruttamento di SS7: link
Quindi hai attacchi di intercettazione / phishing che possono consentire l'elusione dei metodi 2FA come descritto qui di seguito: Attaccante che elude 2FA. Come difendere?
L'unica "grazia salvifica" in questo momento sarebbe usare FIDO U2F tuttavia ( link ) dove supportato non ha AFAIK ha avuto un compromesso su record (se qualcuno è a conoscenza dell'elusione di FIDO U2F, si prega di commentare).
Why are we worried about the quality and rotation of passwords when we can just use 2FA and be done with it?
La complessità della password è ancora importante e ho scritto su questo (usando qualche tovagliolo di matematica) qui collegamento e non dovrebbe essere scontato come" non richiesto ".
Se imposti la password su 12345 (una delle password più comuni nel 2016) è effettivamente uno strato in meno di protezione contro cui un avversario / hacker deve fare i conti (dato che è banale aggirare a quel punto).
La sicurezza in questo caso (e nella maggior parte dei casi) deve essere applicata a strati, nessuno strato è più o meno importante dell'altro (il tuo voler renderlo il più difficile possibile per un avversario / hacker).
La rotazione delle password è per quanto mi riguarda una misura di "stop gap" di solito in cui le organizzazioni potrebbero o non potrebbero applicare un ulteriore livello in 2FA o MFA.
Che quindi molti standard sono saltati sul treno di hover proverbiale e ora richiedono questo.
Esistono studi e articoli che suggeriscono che le normali modifiche alle password funzionano effettivamente contro la sicurezza dell'account a causa degli utenti che sviluppano comportamenti errati (il problema dell'essere umano). (ad esempio link ).
Gli standard AFAICT non ne hanno tenuto conto in questo momento.
Supponendo che la tua organizzazione sia al servizio di una base di clienti, potresti avere clienti che richiedono nel rapporto commerciale tra la tua organizzazione e il cliente la rotazione della password.
Sicuramente è un PITA ma è davvero una crociata che ritieni di poter affrontare senza pregiudizio per l'org per cui lavori e forse perdere alcuni clienti lungo la strada?
E davvero se non ci sono clienti che pagano l'org, con ogni probabilità non avrai un lavoro alla fine della giornata.
Leggi altre domande sui tag authentication