Innanzitutto, questo esiste nella pratica in una forma che non è molto sicura: "domande di sicurezza". La seconda password è (se le domande di sicurezza vengono utilizzate come previsto) qualcosa che è facilmente memorizzabile, ma che è noto ad altre persone.
Non vi sono motivi di sicurezza per non avere due password: una per l'uso quotidiano e una (più lunga, non memorizzabile) per il recupero. In effetti, questa è una pratica comune in alcuni scenari, come ad esempio:
- Un'impostazione aziendale in cui i documenti vengono crittografati con le chiavi PGP degli utenti e anche con una chiave PGP aziendale la cui parte privata è conservata in una cassastrong e utilizzata solo se nessun dipendente può essere trovato per decrittografare un documento.
- Telefoni cellulari o SIM card, che hanno un PUK (spesso 8 cifre casuali) che possono essere utilizzati se il regolare Il PIN (scelto dall'utente, in genere 4 cifre) è stato dimenticato (o più in generale se il dispositivo è stato bloccato a causa di 3 tentativi PIN errati).
Il motivo per cui questo non viene fatto per i siti Web è che c'è un punto molto piccolo. Se un utente desidera avere una password di ripristino nel caso in cui dimentichi la sua normale password, può già farlo annotando la sua password normale. A differenza del caso aziendale precedente, in cui la normale password e la password di ripristino (o chiave) sono detenute da entità diverse, non c'è differenza in chi detiene le password.
È possibile seguire il modello di scheda SIM e generare una password lunga e casuale che gli utenti potrebbero utilizzare per il ripristino. Tuttavia, considera come comunicheresti tale password agli utenti. Puoi visualizzarlo sul sito - e quindi la maggior parte degli utenti non dovrebbe prestare attenzione ad esso e quindi non avrebbe accesso ad esso quando sono bloccati. Puoi inviarlo per e-mail, nel qual caso non solo dipendi dall'e-mail, ma (a differenza dei link temporanei per la reimpostazione della password, che sono temporanei), se l'e-mail viene mai violata, così è l'account, con effetto immediato, e non è necessario per l'attaccante di fare qualsiasi scavo o di intraprendere qualsiasi azione sul sito che verrebbe registrato.
Quindi, mentre la doppia password può funzionare, è uno sforzo di implementazione aggiuntivo e una superficie di attacco aggiuntiva per un vantaggio molto moderato.
Inoltre, la doppia password non eliminerebbe la necessità di e-mail come metodo di recupero. Se si dimentica anche la seconda password, che è probabile nella pratica,
hai bisogno del recupero email.
Se si sceglie di consentire una seconda password, non farlo sotto forma di domande di sicurezza: indeboliscono la sicurezza, a meno che non siano combinate con altre forme di autenticazione (e anche allora spesso non funziona bene ). E non aspettarti più di una piccola parte di utenti per farne un uso efficace.