¿Sería una buena idea si tuviera una cuenta que requeriría dos contraseñas diferentes?
Por ejemplo, sus datos de inicio de sesión fueron:
email: [email protected]
password 1: P4$$w0rd1
password 2: HereIsMySecondPassword
Ahora, cuando el usuario inicia sesión en mi sitio, debe ingresar ambas contraseñas. ¿Sería esta una mejor idea que una contraseña más fuerte? El usuario puede elegir dos contraseñas que puede recordar más fácilmente que una fuerte.
En realidad no. Es esencialmente una contraseña, con una presión de la tecla de retorno como un carácter.
Agrega complejidad al proceso de inicio de sesión, que generalmente no es bueno (los usuarios probablemente elegirán una buena contraseña y una rápida para escribir la contraseña). No olvide la regla de @ AviD: "La seguridad a expensas de la usabilidad, viene a expensas de la seguridad"
Dependiendo de cómo se almacenaron las contraseñas, disminuirían ligeramente la capacidad de los atacantes para forzar cuentas brutas, ya que un atacante tendría que romper ambas partes. Aunque dudo que esto equilibre el problema de usabilidad.
He visto sitios bancarios donde se requiere que un usuario responda 2 preguntas de seguridad (elegidas al azar de un conjunto de 5 preguntas predeterminadas, en el momento de la creación de la cuenta).
El punto es que, si una contraseña puede verse comprometida (ya sea en la parte frontal del usuario o debido a lagunas en el sitio web), ¿es probable que la segunda contraseña permanezca segura? Si el sitio web puede emplear un mejor algoritmo de cifrado para una de las contraseñas, ¿por qué no emplearlo para una única contraseña?
Supongo que una mejor opción es que el usuario puede concatenar las 2 contraseñas para crear una contraseña mucho más segura. Por ejemplo, la configuración de 2 contraseñas "aBcD" y "eFgH" se puede descifrar en minutos (u horas), pero una contraseña como "aBcDeFgH" requeriría mucho más tiempo para deshacerse de un hash.
Una desventaja que no se menciona aún en las otras respuestas, es que tal esquema probablemente derrotará a algunos administradores de contraseñas populares.
Como debería animar a sus usuarios a usar administradores de contraseñas, para que puedan usar secuencias de caracteres largas y completamente aleatorias como su contraseña, esta es probablemente una mala idea.
Un sistema de este tipo podría tener algún beneficio si (1) las dos contraseñas se eligieron de forma independiente, y (2) la política de bloqueo para intentos incorrectos en la segunda contraseña fue más estricta que la de la primera.
Tener una política de bloqueo bastante estricta para intentos de contraseña incorrecta puede mejorar considerablemente la resistencia a los ataques de fuerza bruta, pero también facilita enormemente los ataques de denegación de servicio. Si una cuenta se bloquea durante 30 minutos después de tres intentos de contraseña incorrecta, cualquier persona que conozca la ID de la cuenta puede dificultar la entrada de un usuario legítimo al enviar tres intentos de inicio de sesión falsos cada 30 minutos.
Si hay una contraseña de dos partes, y el bloqueo solo se aplica a los intentos de entrada donde la primera contraseña es correcta, entonces sería necesario infringir la primera contraseña para incluso realizar un ataque de denegación de servicio . Además, buscar el espacio clave para la segunda contraseña sería mucho más lento que para la primera. Además, si bien notificar a un titular de cuenta las contraseñas primarias incorrectas repetidas produciría muchas falsas alarmas de las que el titular de la cuenta no podría hacer nada, notificar al titular de la cuenta de contraseñas incorrectas de la cuenta secundaria podría ser mucho más útil. Si Adam Baker recibe una notificación de que se intentó iniciar sesión en su cuenta con una contraseña principal correcta pero una contraseña secundaria incorrecta y el propio Adam no fue responsable de ese intento de acceso, sabrá que se ha infringido su contraseña principal y puede ser capaz de hacerlo. para actuar antes de que el delincuente pueda violar la segunda contraseña.
Usar 2 contraseñas no es mejor que una contraseña, ya que los problemas principales con las contraseñas no se resuelven. 2 contraseñas no vencerán a los registradores de claves, o evitarán que los crackers recuperen con éxito las contraseñas usando tablas de arco iris. Además, 2 contraseñas son más difíciles de recordar que una.
Una debilidad adicional de este sistema de contraseñas es que hace que el sistema sea mucho más vulnerable al craqueo de hash por fuerza bruta mediante técnicas como rainbow tablas . Esto podría suceder si su base de datos de hash de contraseña se filtró de alguna manera.
Si un atacante ha obtenido acceso a la base de datos de contraseñas con hash, las dos contraseñas deberían almacenarse por separado como dos hashes (ya que almacenarlas juntas evita la comparación directa de cada contraseña). Por lo tanto, esto reduce en gran medida la entropía de cada hash , lo que permite a un atacante descifrar fácilmente ambos hashes mucho más rápido de lo que sería necesario para descifrar un solo hash de las contraseñas concatenadas.
Si las dos contraseñas tienen la misma longitud y se extraen de la misma agrupación, el tiempo que se tarda en descifrar dos hashes de forma aislada toma la mitad del tiempo exponencial (es decir, si descifrar el hash completo lleva 1,000,000,000,000 intentos, solo tomará 1,000,000 intentos para romper cada sub-hash).
Un buen caso de estudio es el NTLM hash utilizado en Windows XP y versiones anteriores, que tiene un defecto de diseño muy similar al sistema de contraseñas mencionado. Una contraseña relativamente segura se divide y almacena como dos hashes separados, lo que hace que toda la contraseña sea mucho más débil.
Incluso las computadoras de hace 10 años podrían romper fácilmente la gran mayoría de hashes NTLM en unos pocos días sin usar tablas de arco iris, y con las tablas, la ruptura es casi instantánea.
He visto esto hecho con la segunda contraseña utilizada (1) para no iniciar sesión, pero para realizar una acción importante dentro de la cuenta, por ejemplo. una transacción monetaria; (2) de diferente tipo a partir de la primera contraseña, por ejemplo, la primera contraseña es de texto constante, la segunda contraseña proviene de un pad de 1 vez o un mensaje SMS. Usado de esa manera, me pareció una buena idea.
Esto podría usarse para iniciar sesión, si la cuenta contiene datos altamente confidenciales y el inicio de sesión no se utiliza con mucha frecuencia, pero de esta manera ya no parece una buena idea.
Usar una contraseña de texto constante para iniciar sesión y otra contraseña de texto constante para realizar acciones importantes podría tener sentido en algunas circunstancias, pero mucho menos que con una contraseña secundaria de un solo uso.
El uso de dos contraseñas de texto constante solo para iniciar sesión ofrece muy pocos beneficios con respecto a una contraseña más larga, y también tiene algunos inconvenientes importantes, según las otras respuestas.
Un método común utilizado por los bancos es un número pin y una contraseña. luego se piden caracteres aleatorios en un orden aleatorio, por ejemplo, ingrese el número 3 1 2 de su número PIN e ingrese los caracteres 3 9 5 de su contraseña ... esto hace que sea más difícil para los keyloggers obtener información, pero esto requiere un método de 2 contraseñas para garantizar que no puedan ocurrir ataques aleatorios, junto con un fail2ban , respectivamente.
entonces la respuesta es no, no es una mala idea, pero nada es una mala idea, es la implementación lo que la hace grande o un error.
Ninguno de los dos está completamente a prueba de fallos porque, por lo general, el que intenta acceder a la cuenta tiene otros medios para obtener la contraseña hecha por el usuario y luego otorgarle acceso a la contraseña de autenticación de dos pasos que, francamente, es bastante fácil de obtener porque utiliza un teléfono de respaldo. o correo electrónico alternativo con lo que se dice, creo que una contraseña más larga con un carácter aleatorio que no sea solo letras y números
Las empresas llaman al acuerdo "autenticación de dos factores", pero se reduce a tener una contraseña que usted mismo inventa y otra que obtiene de otro lugar. Este es el equivalente en computadora de la seguridad provista por una caja de seguridad: solo su llave no puede abrir la caja, y tampoco la llave del banco; ambas partes deben usar ambas teclas al mismo tiempo.
Lea otras preguntas en las etiquetas passwords authentication