Sono appena passato a una nuova azienda di posta elettronica e offrono un tipo di 2FA che non ho mai visto prima.
Tradizionalmente in 2FA inserisci username
e password
quindi ti viene presentata una schermata che richiede il codice generato token
. A volte basta semplicemente aggiungere token
a password
per le volte in cui una seconda pagina non è possibile, ad esempio le VPN lo usano spesso.
La nuova società con cui ho a che fare ha creato un PIN
a 4 cifre e quando attivi 2FA non accedi più con la tua password ma usa PIN
+ token
inserito nel campo della password sul modulo di accesso. L'account ha ancora password
per l'accesso IMAP, SMTP, POP3 ecc.
Questo mi sembra molto meno sicuro, ma non sono sicuro se ho ragione. Il mio pensiero è che una password opportunamente complessa (diciamo 32 caratteri di lettere, numeri e simboli) seguita da token
che cambia ogni 30 secondi richiederà un tempo infinitamente più lungo di un valore numerico PIN
a 4 cifre combinato con lo stesso token
.
In questo caso sarebbe più sicuro usare una password opportunamente complessa senza che sia abilitato il 2FA che cambi ogni paio di settimane dell'implementazione 2FA con PIN
+ token
?
Nota: la società stessa si riferisce entrambi a questo sistema come 2FA e OTP in modo intercambiabile, ma non sono del tutto sicuro di quale dovrebbe essere la terminologia corretta.