When used with a second-factor, is the whole system (password+2nd factor) strong enough as a whole that the disadvantages of passwords become irrelevant?
Per la maggior parte degli scopi, avere un secondo fattore è probabilmente sufficiente per superare i problemi con le password, assumendo la condizione piuttosto importante che si implementa correttamente il secondo fattore. In particolare:
- È necessario un meccanismo di ripristino definito correttamente che sia ancora sicuro. I codici di ripristino OTP forniti da molti siti che supportano 2FA sono un buon esempio di ciò che viene fatto correttamente.
- È necessario un supporto adeguato per consentire l'utilizzo di più fattori secondari indipendenti. Ad esempio, consentendo l'associazione di più chiavi U2F con un determinato account o più impronte digitali o più app TOTP. Il motivo per cui questo è importante è che, a differenza di una password, il secondo fattore di solito non è banale da sostituire, quindi avere un backup di emergenza è importante.
Assuming the answer to the first question is "no, password disadvantages make the system too weak", what alternatives are there for us to use in the future?
Non penso che ce ne siano davvero quasi pronti, in gran parte perché hanno i loro problemi che sono discutibilmente molto più complicati da gestire delle password. La biometria è ancora abbastanza facile da imbrogliare e non è nemmeno del tutto affidabile per cominciare. I dispositivi di sicurezza hardware sono generalmente uno scherzo poiché sono attualmente implementati e sono molto più facili da perdere rispetto alle password. Altre tecnologie hanno i loro ulteriori problemi.
Oltre a ciò, mi piacerebbe davvero mettere in discussione la premessa della domanda. Sembra che implichi che i problemi siano inerenti alle password, ma direi che derivano tutti da come vengono tipicamente utilizzati.
In primo luogo, il concetto di "password casuale strong", come la maggior parte delle persone pensa, non è poi così buono. È abbastanza chiaro che ciò che le persone chiamano classicamente password forti (e quello che molti siti richiedono ancora di usare) è difficile da ricordare per la gente, ma è facile da indovinare per i computer, e quindi non è poi così utile. Se, invece, usi qualcosa di simile all'approccio XKCD ( XKCD # 936 ), è piuttosto semplice da ricordare e, se fatto bene, può essere incredibilmente sicuro (specialmente se si mescolano le lingue).
Ora, anche ignorando ciò, la maggior parte delle persone può ricordare password classicamente complesse senza troppe difficoltà se le usano regolarmente . Il problema qui è che molte persone usano sessioni di login persistenti (che sono cattive anche per altri motivi) e hanno le cose impostate per ricordare le loro password per loro. Se la digiti ogni giorno , la memorizzerai, almeno come memoria muscolare, dopo al massimo alcune settimane.
Inoltre, il punto sullo storage debole è irrilevante, perché non è specifico per le password. È possibile che i sistemi 2FA abbiano gli stessi problemi per il secondo fattore in quanto è la password.
Complessivamente, ciò lascia il riutilizzo, ma questo è ancora un problema per molte alternative (non è come se si potesse realisticamente utilizzare una retina diversa per ogni scansione della retina o un dito diverso per ciascuna scansione delle impronte digitali).