Gestione password o autenticazione a due fattori

Question

Gestione password o autenticazione a due fattori

#1 da (1 voti)

1

Per i servizi critici, è più sicuro avere password complesse diverse e un gestore di password o la stessa password per ogni servizio e un'autenticazione a due fattori?
Il gestore delle password è rischioso se viene compromesso. D'altra parte, è davvero pericoloso avere una password univoca quando usiamo un'autenticazione a due fattori? Dopo tutto, un'autenticazione a due fattori è davvero difficile da bypassare per i siti Web seri. Ad esempio, possiamo cambiare questa password ogni 6 mesi. Supponendo che avere entrambi sia troppo per il nostro uso.

authentication passwords password-management multi-factor password-cracking

posta KB303 19.06.2017 - 19:55

fonte

1 risposta

Leggi altre domande sui tag authentication passwords password-management multi-factor password-cracking

OAuth 2.0: i token di aggiornamento sono ancora utili quando tutti i client sono pubblici? È sicuro comporre le informazioni sensibili in una tastiera del telefono?

score 1 · Accepted Answer

Secondo Edward Snowden,

Shift your thinking from passwords to passphrases

Utilizzo della passphrase :

L'utilizzo della passphrase è la migliore pratica piuttosto che l'utilizzo di password. Perché la password può essere indovinata o forza bruta. Ma se ti piace Charles Dickens, la tua passphrase può essere qualcosa del genere,

@a@l0v!ng@heart@!s@the@truest@w!sd0m@[email protected]!ck4fb.c0m @a@l0v!ng@heart@!s@the@truest@w!sd0m@[email protected]!ck4gma!l.c0m

Oppure puoi utilizzare un comando specifico che usi spesso come una passphrase,

$ awk-F":"'{print$1}'/var/log/random|grep'nothing'

e nessuno può indovinare o (qualcuno può farlo) forzare questo. Puoi sempre sviluppare la tua logica per costruire la passphrase.

Se sei paranoico come me, puoi aggiungere delle cifre generate a caso nella tua password, il che rende più difficile il crack.
Utilizzo di Gestione password :

L'utilizzo di Gestione password non è una cattiva idea, ma neanche un'idea paranoica. Sebbene al giorno d'oggi i gestori di password come LastPass / onelogin ecc siano molto sicuri ma non del tutto inaccessibili. Possono essere compromessi usando una vulnerabilità ( vulnerabilità di Lastpass ) o comunque come credo qualsiasi metodo è compromissibile. Quindi non mi fido di loro né tu dovresti.
Autenticazione a due fattori:

In questi giorni la maggior parte delle applicazioni supporta l'autenticazione a due fattori, che è buona. Ma se si desidera utilizzare la stessa password per l'autenticazione a due fattori, non penso che sia una buona idea. Puoi semplicemente aggiungere parole diverse come faceb00k # c0m (per facebook.com), ma! L.g00gle # c0m (per gmail.com) ecc. Della stessa passphrase che lo renderà diverso.
Modifica dopo 6 mesi :

Cambiare la passphrase dopo 6 mesi è un'ottima idea. Riduce la superficie di attacco. Supponiamo che un attaccante abbia fatto delle ricognizioni su di te negli ultimi 6 mesi e abbia trovato la tua password esatta, ma quando la cambi dopo 6 mesi, ti limiti gli sforzi dell'attaccante sul nascere.