Diciamo che ho una password relativamente strong, ma non voglio usare molte password diverse per ogni servizio diverso, e diciamo che quei servizi forniscono autenticazione a due fattori usando una password e un TOTP, per esempio come Gmail, Facebook, ... ecc.
È ancora sicuro usare la stessa password su quei servizi a patto che il secondo fattore sia diverso?
Se quell'altro fattore è sufficiente per proteggere la tua sicurezza per te, allora certo. Il punto di più password è che se uno è compromesso, non sono tutti compromessi. Se riutilizzi la password e un account è rotto, tale fattore viene interrotto ovunque venga utilizzato. Se non ti dispiace che un codice unico sia tutto ciò che si frappone tra un utente malintenzionato e il tuo account Gmail, non c'è motivo per non utilizzare la stessa password. È sicuramente molto meno sicuro, ma è anche molto più utilizzabile. È una scelta personale basata su quello che pensi sia il compromesso tra sicurezza e usabilità.
Mentre per lo più sono d'accordo con @AJ Henderson, se uno dei siti che utilizza l'autenticazione multi-fattore interrompe o modifica la loro implementazione, sei quindi a rischio.
Al di là della tua domanda, come punto generale, esorto le persone a utilizzare un gestore di password, nel qual caso non c'è molto valore nell'usare le stesse password.
Semplificherai le cose a chi cerca di compromettere la tua password indipendentemente da questo secondo fattore. Hai l'impressione che ogni secondo fattore sarà più sicuro del primo. Pensaci per un momento.
Immagina di affidarti alla compagnia Acme Dual Factor. Ti fidi che saranno il tuo " supervisore " nel senso che tu hai una chiave, e loro hanno l'altra. Pollo o il concetto di uovo. Se uno era così sicuro, non avresti bisogno dell'altro.
Ciò che ho fatto per gestire password complesse, diverse tra loro, è che mi sono fatto un quadro mentale per ricordarle. Si basa sul concetto "qualcosa sei, qualcosa che hai e qualcosa che conosci".
Something I have: (A Gmail account) Gm@!l
Something I know: (password I choose) f!d0
Something I am: (from New York so I will use) y@nkees
"Ci vorrebbe un PC desktop di circa 3 quintilioni di anni" link
Facciamolo di nuovo.
Something I have: my bank login (C!t!b@nk)
Something I know: my phone number ... shifted - @)@%%%(*&^
Something I am: from New York
C!t!b@nk.@)@%%%(*&^.brooklyn
Non è la mia banca, ma Gmail:
GM@!l.@)@%%%(*&^.brooklyn
Hotmail?
H0tM@!l.@)@%%%(*&^.brooklyn
Queste sono cose che posso MAI dimenticare. Il mio numero di telefono tenendo il turno. Da dove vengo, e cos'è che ho. Esistono molti meccanismi da utilizzare per la memoria per ricordare password ultra-potenti. La mia password TrueCrypt è di 26 caratteri, il mio accesso, 21. Password completamente diverse. Li ricordo tutti perché ho creato il mio framework. Le ho supportate usando Keepass per sicurezza.
Ora, qualcuno arriverà e dirà: "la vulnerabilità è nel tuo framework" e sottolineerò, le probabilità di compromettere QUALUNQUE di quei bit di dati tramite "recon social" è assurda.
Leggi altre domande sui tag authentication passwords multi-factor