È necessaria la password secondaria (ad esempio: pin)?

In alcune implementazioni, sì, tuttavia è soggetta alle stesse imperfezioni delle password a fattore singolo. Ciò rende virtualmente inutili i passaggi extra.

In generale ci sono tre tipi di fattori:

1. Qualcosa che conosci
2. Qualcosa che hai
3. Qualcosa che sei

Poiché una password e un pin riutilizzabile si basano sullo stesso meccanismo di conoscenza di qualcosa, possono facilmente essere sconfitti con l'uso di un key-logger o altra tattica di ingegneria sociale. Il pin aumenterebbe il tempo di crack di un tentativo di forza bruta, tuttavia non attenuerebbe completamente il rischio di un tentativo di forza bruta come farebbe uno standard di autenticazione a due fattori.

Nella mia esperienza, spesso il campo di inserimento dei pin viene introdotto solo dopo che la password è stata verificata. Un codice a 6 pin si rompe facilmente una volta scoperta la password iniziale utilizzando la password per accedere alla pagina pin e forzare brute attraverso meno di un milione di possibili combinazioni di numeri. Tuttavia, i campi di input che richiedono la password e il codice pin aggiunto insieme per verificare le credenziali possono aumentare notevolmente il tempo necessario per rompere una password. Una password che richiede 8 caratteri alfanumerici con hash con md5 richiederà oltre 113 anni per passare attraverso tutte le combinazioni. ( link ) Una password che aggiunge 8 caratteri alfanumerici e un 6 pin alfanumerico insieme aumenta il tempo di calcolo per oltre 84 trilioni di anni.

Se il pin viene generato da un token fisico con un numero in costante aggiornamento, aumenti la sicurezza perché avrai bisogno sia di una password che del token per accedere. Le migliori pratiche detterebbero l'utilizzo di una vera sicurezza a due fattori e non fare affidamento sulla sicurezza a fattore singolo.

Credo che ciò a cui ti riferisci sia una password monouso (OTP). Il codice a 4 o 6 cifre può essere inviato tramite SMS o visualizzato su un dispositivo token fisico ed è univoco per ogni accesso.

Does an additional password makes the site or software more secure?

L'OTP offre una sicurezza aggiuntiva perché oltre a conoscere il tuo nome utente / password, un avversario deve possedere il token o il tuo telefono, aumentando così la sicurezza. Questa forma di sicurezza è nota come 2 Factor Authentication (2FA). Il primo fattore è qualcosa che conoscono, ad es. parola d'ordine. Il secondo fattore è qualcosa che possiedono, ad es. token.

Is this really necessary? In what scenarios that it is needed to use an additional password?

Non esiste una regola semplice in avanti quando è necessario. Dipende dal livello di sicurezza di cui hai bisogno. Ricorda che l'implementazione di un OTP comporta un aumento di disagi poiché l'utente deve ora digitare l'OTP ogni volta che effettua l'accesso. In generale, le OTP vengono normalmente utilizzate solo per applicazioni che richiedono una sicurezza più elevata come Internet Banking, mentre altre attività a basso rischio come poiché l'accesso a StackOverflow non richiede un OTP.

Modifica:

In questo caso, il PIN fornisce un secondo livello di sicurezza ma il suo effetto è minimo. Per esempio. Se l'utente riutilizza la sua password su più siti, un avversario può accedere al suo account ma non può procedere ulteriormente poiché conosce solo la password ma non il PIN.

Tuttavia, ci sono casi in cui è possibile impostare i PIN per proteggere un sottoinsieme delle funzionalità. Uno dei giochi che ho giocato in passato ti ha permesso di creare più personaggi per account e proteggere ogni personaggio con un PIN diverso. Questo ti permetterà di 'condividere' solo un personaggio con un amico.

È più sicuro di una password, ma è meno sicuro di una password veramente lunga. Supponiamo che la password deve contenere almeno 8 caratteri alfanumerici / simbolici e che il PIN deve essere di 8 cifre. Questo è meno sicuro di una password che deve contenere almeno 16 caratteri alfanumerici / simbolici. Il motivo è che una volta che un utente malintenzionato indovina la password corta, lo sa e può quindi forzare il PIN. Nel caso di una password lunga e singola, non ha idea di quanto sia vicino a indovinarlo.

un PIN o un secondo segreto condiviso "noto". e soprattutto se questo è derivato da una singola metodologia di utilizzo del tempo (come un token SMS o google Autheticator per esempio) aggiunge una grande quantità di protezione aggiuntiva. senza di esso, aiuta a riutilizzare la password "hack" (ea un utente riutilizza la sua password e quella password viene "rubata" e ora il ladro che ha ancora la password non ha accesso al Software a causa della mancata conoscenza del PIN).

Dopo la modifica della domanda:

il PIN è in questo caso una "seconda" cosa che sai. ed è progettato per rendere più difficile l'abuso del sistema di gioco attraverso mezzi maliziosi. spesso i raccoglitori di password cercano solo la password e il loginname e non sanno del pin che dovrebbero anche raccogliere e inviare ai collezionisti. E da un punto di vista API. il solo fatto di avere il nome utente e la password non ti dà ancora accesso all'API ed eseguire il tuo client (questo dovrebbe essere protetto anche con altri mezzi). Per quanto riguarda i browsergames. Fa parte della lotta senza fine contro i "cattivi" e aggiunge uno strato di "difficoltà" quando indovina le informazioni dell'account.