¿Es necesaria la contraseña secundaria (por ejemplo, pin)?

2

Encuentro algunos casos (especialmente en juegos en línea) que un software o sitio web les pide a los usuarios que ingresen una contraseña adicional, como números de pin de 4 o 6 dígitos, además de su contraseña original. La mayoría de los casos, se le solicita a Pin una vez que los usuarios inician sesión correctamente con su nombre de usuario y contraseña.

¿Es esto realmente necesario?
¿Una contraseña adicional hace que el sitio o el software sean más seguros?
¿En qué escenarios se necesita usar una contraseña adicional?

EDITAR:
Gracias por todas sus respuestas.
Pero lo que realmente quiero decir con "pin" es un código secreto que tiene el mismo uso / comportamiento que una contraseña.
El "pin" es secreto, puede ser cambiado por el usuario y probablemente hash & almacenado en una base de datos de la misma manera como lo hace una contraseña.

Aquí hay un ejemplo que encontré en un juego en línea:
Cuando un usuario ingresa / ejecuta el juego por primera vez, el juego solicita ingresar un "pin" que consiste en números de 4 dígitos. Este pin se puede cambiar más tarde.
El pin siempre se usa cada vez que el usuario inicia sesión y se le solicita que ingrese su nombre de usuario y contraseña.

    
pregunta topher 23.12.2014 - 15:13
fuente

4 respuestas

4

En ciertas implementaciones, sí, sin embargo, es susceptible a las mismas fallas que tienen las contraseñas de factor único. Esto hace que los pasos adicionales sean prácticamente inútiles.

En general, hay tres tipos de factores:

  1. Algo que sabes
  2. Algo que tienes
  3. Algo que eres

Debido a que una contraseña y un pin reutilizable dependen del mismo mecanismo para saber algo, ambos pueden ser fácilmente derrotados con el uso de un registrador de teclas u otra táctica de ingeniería social. El pin aumentaría el tiempo de crack de un intento de fuerza bruta, sin embargo, no mitigaría completamente el riesgo de un intento de fuerza bruta como lo haría un estándar de autenticación de dos factores.

En mi experiencia, muchas veces el campo de entrada de pin se introduce solo después de verificar la contraseña. Un código pin de 6 se rompe fácilmente una vez que se descubre la contraseña inicial mediante el uso de la contraseña para obtener acceso a la página pin y el forzamiento brutal a través de menos de un millón de combinaciones de números posibles. Sin embargo, los campos de entrada que requieren la contraseña y el código pin adjuntos para verificar las credenciales pueden aumentar enormemente el tiempo para romper una contraseña. Una contraseña que requiere 8 caracteres alfanuméricos con md5 requerirá un poco más de 113 años para completar todas las combinaciones. ( enlace ) Una contraseña que agrega 8 caracteres alfanuméricos y un pin alfanumérico de 6 juntos aumenta el tiempo de cálculo a más de 84 billones de años.

Si el pin se genera a partir de un token físico con un número que se actualiza constantemente, aumentará la seguridad porque necesitará tanto una contraseña como el token para iniciar sesión. Las mejores prácticas dictarían el uso de la seguridad real de dos factores y no confiarían en la seguridad de un solo factor.

    
respondido por el pr- 23.12.2014 - 19:37
fuente
2

Creo que a lo que te refieres es a una contraseña de un solo uso (OTP). El código de 4 o 6 dígitos se puede enviar por SMS o se muestra en un dispositivo físico de token y es único para cada inicio de sesión.

  

¿Una contraseña adicional hace que el sitio o el software sean más seguros?

La OTP proporciona seguridad adicional porque, además de conocer su nombre de usuario / contraseña, un adversario debe poseer el token o su teléfono, lo que aumenta la seguridad. Esta forma de seguridad se conoce como 2 Factor Authentication (2FA). El primer factor es algo que ellos saben, por ejemplo, contraseña. El segundo factor es algo que poseen, por ejemplo. token.

  

¿Es esto realmente necesario?   ¿En qué escenarios se necesita usar una contraseña adicional?

No hay una regla directa sobre cuándo es necesario. Depende del nivel de seguridad que necesites. Tenga en cuenta que la implementación de una OTP conlleva un aumento de las molestias, ya que el usuario ahora debe escribir la OTP cada vez que inicia sesión. como iniciar sesión en StackOverflow no requiere una OTP.

Editar:

En este caso, el PIN proporciona una segunda capa de seguridad pero su efecto es mínimo. P.ej. Si el usuario reutiliza su contraseña en varios sitios, entonces un adversario puede iniciar sesión en su cuenta pero no puede continuar, ya que solo conoce la contraseña pero no el PIN.

Sin embargo, hay casos en que los PIN se pueden configurar para proteger un subconjunto de las funciones. Uno de los juegos que jugué en el pasado le permitió crear múltiples personajes por cuenta y proteger a cada personaje con un PIN diferente. Esto te permitirá 'compartir' solo un personaje con un amigo.

    
respondido por el limbenjamin 23.12.2014 - 15:23
fuente
2

Es más seguro que una contraseña, pero es menos seguro que una contraseña realmente larga. Supongamos que la contraseña debe tener un mínimo de 8 caracteres alpanuméricos / simbólicos y el PIN debe tener 8 dígitos. Eso es menos seguro que una contraseña que debe tener al menos 16 caracteres alfanuméricos / simbólicos. La razón es que una vez que un atacante adivina la contraseña corta, la conoce y puede forzar el PIN. En el caso de una sola contraseña larga, no tiene idea de lo cerca que está de adivinarla.

    
respondido por el Ben 24.12.2014 - 18:11
fuente
1

un PIN o segundo secreto compartido "conocido". y especialmente si esto se deriva de una metodología de uso único (como un token de SMS o Google Autheticator, por ejemplo) añade una gran cantidad de protección adicional. sin eso, ayuda contra la reutilización de la contraseña 'hacks' (un usuario reutiliza su contraseña. y esa contraseña se "roba" y ahora el ladrón que tiene la contraseña aún no tiene acceso al Software debido a que no conoce la contraseña). PIN.)

Después de editar la pregunta:

el PIN es en este caso una "segunda" cosa que sabes. y está diseñado para hacer que sea más difícil abusar del sistema de juego a través de medios maliciosos. a menudo, los recolectores de contraseñas solo buscan la contraseña y el nombre de usuario y no conocen el pin que también deben recolectar y enviar a los coleccionistas. Y desde un punto de vista API. el simple hecho de tener el nombre de usuario y la contraseña aún no le da acceso a la API y ejecuta su propio cliente (esto también debe protegerse por otros medios). En cuanto a los juegos de navegador. Es parte de la lucha interminable contra los "malos" y agrega una capa de "dificultad" al adivinar la información de la cuenta.

    
respondido por el LvB 23.12.2014 - 15:17
fuente

Lea otras preguntas en las etiquetas