¿Es necesaria la contraseña secundaria (por ejemplo, pin)?

En ciertas implementaciones, sí, sin embargo, es susceptible a las mismas fallas que tienen las contraseñas de factor único. Esto hace que los pasos adicionales sean prácticamente inútiles.

En general, hay tres tipos de factores:

1. Algo que sabes
2. Algo que tienes
3. Algo que eres

Debido a que una contraseña y un pin reutilizable dependen del mismo mecanismo para saber algo, ambos pueden ser fácilmente derrotados con el uso de un registrador de teclas u otra táctica de ingeniería social. El pin aumentaría el tiempo de crack de un intento de fuerza bruta, sin embargo, no mitigaría completamente el riesgo de un intento de fuerza bruta como lo haría un estándar de autenticación de dos factores.

En mi experiencia, muchas veces el campo de entrada de pin se introduce solo después de verificar la contraseña. Un código pin de 6 se rompe fácilmente una vez que se descubre la contraseña inicial mediante el uso de la contraseña para obtener acceso a la página pin y el forzamiento brutal a través de menos de un millón de combinaciones de números posibles. Sin embargo, los campos de entrada que requieren la contraseña y el código pin adjuntos para verificar las credenciales pueden aumentar enormemente el tiempo para romper una contraseña. Una contraseña que requiere 8 caracteres alfanuméricos con md5 requerirá un poco más de 113 años para completar todas las combinaciones. ( enlace ) Una contraseña que agrega 8 caracteres alfanuméricos y un pin alfanumérico de 6 juntos aumenta el tiempo de cálculo a más de 84 billones de años.

Si el pin se genera a partir de un token físico con un número que se actualiza constantemente, aumentará la seguridad porque necesitará tanto una contraseña como el token para iniciar sesión. Las mejores prácticas dictarían el uso de la seguridad real de dos factores y no confiarían en la seguridad de un solo factor.

Creo que a lo que te refieres es a una contraseña de un solo uso (OTP). El código de 4 o 6 dígitos se puede enviar por SMS o se muestra en un dispositivo físico de token y es único para cada inicio de sesión.

  

¿Una contraseña adicional hace que el sitio o el software sean más seguros?

La OTP proporciona seguridad adicional porque, además de conocer su nombre de usuario / contraseña, un adversario debe poseer el token o su teléfono, lo que aumenta la seguridad. Esta forma de seguridad se conoce como 2 Factor Authentication (2FA). El primer factor es algo que ellos saben, por ejemplo, contraseña. El segundo factor es algo que poseen, por ejemplo. token.

  

¿Es esto realmente necesario?   ¿En qué escenarios se necesita usar una contraseña adicional?

No hay una regla directa sobre cuándo es necesario. Depende del nivel de seguridad que necesites. Tenga en cuenta que la implementación de una OTP conlleva un aumento de las molestias, ya que el usuario ahora debe escribir la OTP cada vez que inicia sesión. como iniciar sesión en StackOverflow no requiere una OTP.

Editar:

En este caso, el PIN proporciona una segunda capa de seguridad pero su efecto es mínimo. P.ej. Si el usuario reutiliza su contraseña en varios sitios, entonces un adversario puede iniciar sesión en su cuenta pero no puede continuar, ya que solo conoce la contraseña pero no el PIN.

Sin embargo, hay casos en que los PIN se pueden configurar para proteger un subconjunto de las funciones. Uno de los juegos que jugué en el pasado le permitió crear múltiples personajes por cuenta y proteger a cada personaje con un PIN diferente. Esto te permitirá 'compartir' solo un personaje con un amigo.

Es más seguro que una contraseña, pero es menos seguro que una contraseña realmente larga. Supongamos que la contraseña debe tener un mínimo de 8 caracteres alpanuméricos / simbólicos y el PIN debe tener 8 dígitos. Eso es menos seguro que una contraseña que debe tener al menos 16 caracteres alfanuméricos / simbólicos. La razón es que una vez que un atacante adivina la contraseña corta, la conoce y puede forzar el PIN. En el caso de una sola contraseña larga, no tiene idea de lo cerca que está de adivinarla.

un PIN o segundo secreto compartido "conocido". y especialmente si esto se deriva de una metodología de uso único (como un token de SMS o Google Autheticator, por ejemplo) añade una gran cantidad de protección adicional. sin eso, ayuda contra la reutilización de la contraseña 'hacks' (un usuario reutiliza su contraseña. y esa contraseña se "roba" y ahora el ladrón que tiene la contraseña aún no tiene acceso al Software debido a que no conoce la contraseña). PIN.)

Después de editar la pregunta:

el PIN es en este caso una "segunda" cosa que sabes. y está diseñado para hacer que sea más difícil abusar del sistema de juego a través de medios maliciosos. a menudo, los recolectores de contraseñas solo buscan la contraseña y el nombre de usuario y no conocen el pin que también deben recolectar y enviar a los coleccionistas. Y desde un punto de vista API. el simple hecho de tener el nombre de usuario y la contraseña aún no le da acceso a la API y ejecuta su propio cliente (esto también debe protegerse por otros medios). En cuanto a los juegos de navegador. Es parte de la lucha interminable contra los "malos" y agrega una capa de "dificultad" al adivinar la información de la cuenta.