La autenticación de dos factores es mucho más difícil de romper que solo una contraseña, y los generadores de tokens son cada vez más fuertes. ¿Por qué nos preocupa la calidad y la rotación de las contraseñas cuando podemos usar 2FA y terminar con eso? Está funcionando lo suficientemente bien como para que la industria de los videojuegos evite las cuentas robadas. ¿Por qué no es lo suficientemente bueno para el lugar de trabajo?
La autenticación de dos factores es mucho más difícil de romper que solo una contraseña, y los generadores de tokens son cada vez más fuertes.
Esto depende completamente de su método 2FA que permita su organización.
Si su organización permite SMS para 2FA, tiene vulnerabilidades bien documentadas, como buscar en el proveedor de servicios y, básicamente, robar el número de teléfono para recibir SMS de OTP a: enlace (2:29)
Y / o atacando los protocolos directamente, como la explotación de SS7: enlace
Luego tiene ataques de intercepción / phishing que pueden permitir la elusión de los métodos 2FA como se detalla aquí: Atacante eludiendo 2FA. ¿Cómo defender?
Sin embargo, el único "gracia salvadora" en este momento sería utilizar FIDO U2F ( enlace ), donde se admite, AFAIK no tiene un compromiso registrado. (Si alguien tiene conocimiento de la elusión de FIDO U2F, por favor, comente).
¿Por qué nos preocupa la calidad y la rotación de las contraseñas cuando podemos usar 2FA y terminar con ellas?
La complejidad de las contraseñas sigue siendo importante y escribí sobre esto (usando un poco de servilleta matemática) aquí enlace y no se debe descartar como" no es necesario ".
Si configura su contraseña en 12345 (una de las contraseñas más comunes en 2016) es efectivamente una capa de protección menos contra la que un adversario / pirata informático debe enfrentarse (ya que es trivial sortearla en ese momento).
La seguridad en este caso (y en la mayoría de los casos) debe aplicarse en capas, ninguna capa es más o menos importante que la otra (lo que usted quiere es que sea lo más difícil posible para un adversario / pirata informático).
Las rotaciones de las contraseñas son, en lo que a mí respecta, una medida de "brecha de interrupción" que generalmente las organizaciones deberían o no podrían aplicar una capa adicional en 2FA o MFA.
Entonces, muchos estándares saltaron en el proverbial bombo y ahora requieren esto.
Hay estudios y artículos que sugieren que los cambios de contraseña regulares realmente funcionan en contra de la seguridad de la cuenta debido a que los usuarios desarrollan malos comportamientos (el problema del ser humano). (por ejemplo, enlace ).
Las normas de AFAICT no las han tenido en cuenta en este momento.
Suponiendo que su organización atiende a una base de clientes, es posible que tenga clientes que requieran en el acuerdo comercial entre su organización y el cliente que haya rotaciones de contraseñas.
Claro que es un PITA, ¿pero es realmente una cruzada que sientes que puedes enfrentar sin menoscabo de la organización para la que trabajas y quizás perder algunos clientes en el camino?
Y realmente si no hay un cliente que pague a la organización, es muy probable que al final del día no tenga un trabajo.
Lea otras preguntas en las etiquetas authentication