So che è considerata buona norma per la sicurezza online modificare le password di accesso ogni 6 mesi circa. È necessario su siti con verifica in due passaggi? Non è il 2 ° passo cosa manterrà il mio account sicuro a prescindere se qualcuno ha la password o no? In effetti, le password necessarie sono assolutamente necessarie in un mondo di verifica in due passaggi?
In effetti, l'autenticazione a due fattori (2FA) impedirà a chiunque di accedere a un account senza avere entrambi i fattori di autenticazione.
Detto questo, l'implementazione tipica di 2FA online è una password abbinata a un codice breve, su un telecomando o inviato tramite SMS. I telecomandi RSA SecurID standard che esistono da un paio di decenni e Il programma di verifica in due passaggi di Google , come esempi di coppia, utilizzano entrambi i codici numerici a 6 cifre come secondo fattore. Con solo 1 milione di possibilità, questa è una frazione di secondo rispetto alla forza bruta su dispositivi informatici anche obsoleti. Certo, ci sono altre misure di sicurezza in atto (come blocchi degli account e restrizioni temporali) che offrono protezione contro gli attacchi di forza bruta sul secondo fattore di autenticazione, ma è un numero così piccolo di possibilità che è probabilmente possibile superare con un piccolo sforzo e ingegno. Per esempio, affittare una botnet (che può essere fatta letteralmente per diversi dollari) e usare un " basso e lento "attacco di forza bruta contro il secondo fattore, se la password è nota. Come indicato nei commenti, se ipotizziamo 3 ipotesi a una su un milione di probabilità per "attacco", prima che il codice venga reimpostato, otteniamo ~ 3 in un milione di possibilità di successo per attacco. Supponendo che siamo stati in grado di lanciare uno di questi attacchi tripli contro il secondo fattore ogni 30 secondi, potremmo ottenere il 26% di possibilità di successo in un paio di settimane circa (100.000 attacchi, 1- 0.999997 100000 ) e migliore del 50% di probabilità di successo in circa un mese (250.000 attacchi, 1- 0.999997 250000 ).
E ricorda che gli attacchi di forza bruta non sono l'unico attacco possibile contro il secondo fattore o il migliore, o molto probabilmente ... probabilmente sono sul modo peggiore per attaccare questo secondo fattore, e sono probabilmente almeno in qualche modo fattibile. Non è quello difficile con un fornitore di servizi di telefonia cellulare dare il controllo di un account / numero di telefono (per ricevere il messaggio SMS 2FA da soli), o rubare un telecomando, o exploit vulnerability nel sistema 2FA stesso , e così via.
Ad un livello elevato, 2FA riguarda la verifica di qualcuno come utente autorizzato in due modi diversi. "Qualcosa che conosci, e qualcosa che hai." Le persone sono cattive nel generare segreti inconcepibili (qualcosa che conosci), oltre ad essere cattivi nel mantenerli segreti, e le persone non sono anche brave a mantenere il controllo sulle cose fisiche (qualcosa che hai) ... ma sono molto più probabili essere in grado di fare l'uno o l'altro in un dato momento. Finché posso fare l'uno o l'altro, 2FA manterrà il mio account [relativamente] sicuro. Di per sé, quel secondo fattore è poco più di una password molto, molto debole, (almeno come implementato dalla maggior parte dei siti web / servizi web) e le persone che proteggono i loro account con password molto, molto deboli è uno dei motivi per cui esiste 2FA nel spazio dei consumatori oggi.
Quindi sì, le password sono ancora necessarie con la maggior parte dei 2FA, e la modifica occasionale delle password è ancora una precauzione saggia. La relativa debolezza del secondo fattore nelle implementazioni tipiche significa che non è abbastanza sicuro da stare in piedi da solo, senza la segretezza di una buona password per il primo fattore di autenticazione. E poiché una buona password come primo fattore è ancora richiesta, ciò significa seguire le buone pratiche della password (password complessa, non riutilizzarla, cambiarla occasionalmente).
No. Direi che il dispositivo 2FA in questione proteggerà il tuo account più della password. L'idea alla base del dispositivo 2FA è di impedire a qualcuno remoto di accedere al tuo account. Ad esempio, hackerarlo dall'altra parte del mondo. (NOTA: NON si applica a determinati token basati su eventi con 6/8 cifre - vedi più avanti)
Tuttavia, la modifica della password è una misura per prevenire la password rubata e / o indovinata, ad esempio il database delle password trapelate senza conoscenza. O se qualcuno ti ha surfato a spalla. O se la password è passata a causa di un trojan o virus su un computer di terze parti che hai usato.
Quando si utilizza un token 2FA, se il token è completamente basato sul software, esiste la possibilità che un avversario con accesso fisico al token del software lo abbia copiato. In tali casi, la modifica della password può bloccare in modo efficace un utente malintenzionato con un "Seme Token" rubato, dall'utilizzo del proprio account.
Se, tuttavia, usi una tecnologia token sicura che non può essere copiata, ad esempio un token fisico, YubiKey, token basato su smart card o anche un token basato su smartphone che utilizza storage di seed basato su hardware , quindi si è sicuri e quindi non è necessario modificare la password. Potresti anche utilizzare una password semplice come "Password1".
La possibilità che qualcuno rubi fisicamente il token, è minima, e se ciò accadesse, saresti in grado di rilevarlo facilmente ("Dov'è il mio token?"), e quindi eseguire azioni per reimpostare e bloccare il token rubato .
A seconda della tecnologia dei token, c'è il rischio che il codice token possa essere forzato bruto. I token basati sul tempo non hanno questa limitazione, poiché puoi sempre applicare un limite di tempo di 30 secondi dopo 3 accessi non riusciti, e sarà impossibile forzare il token, poiché cambia ogni 30 secondi. Lo stesso vale per i token basati sulle sfide, si genera solo una nuova sfida per ogni tentativo, quindi ogni tentativo avrà un diverso "codice token corretto", quindi l'attaccante deve indovinare il codice token in modo efficace al primo tentativo.
Un "token evento basato" tuttavia, hanno il rischio che qualcuno lo imponga, a meno che il codice token non abbia un numero sufficiente di caratteri per non essere forzato brutalmente (ad esempio, Yubikey è un token sicuro basato su evento che non può essere bruta forzata) Ma i token basati su eventi a 6 cifre non sono sicuri.
Leggi altre domande sui tag authentication passwords multi-factor password-cracking