Sé que se considera una buena higiene de seguridad en línea para cambiar las contraseñas de inicio de sesión cada 6 meses aproximadamente. ¿Es necesario en sitios con verificación de 2 pasos? ¿No es el segundo paso lo que mantendrá mi cuenta segura independientemente de si alguien tiene la contraseña o no? De hecho, ¿son necesarias las contraseñas en un mundo de verificación en dos pasos?
De hecho, la autenticación de dos factores (2FA) evitará que cualquier persona acceda a una cuenta sin tener ambos factores de autenticación.
Dicho esto, la implementación típica de 2FA en línea es una contraseña emparejada con un código corto, ya sea en un llavero o enviado por SMS. Los llaveros estándar RSA SecurID que han existido desde hace un par de décadas y el programa de verificación de 2 pasos de Google , como un par de ejemplos, ambos usan códigos numéricos de 6 dígitos como segundo factor. Con solo 1 millón de posibilidades, eso es una fracción de segundo de fuerza bruta en dispositivos informáticos incluso obsoletos. Por supuesto, existen otras medidas de seguridad (como bloqueos de cuenta y restricciones de tiempo) que ofrecen protección contra ataques de fuerza bruta en el segundo factor de autenticación, pero es una cantidad tan pequeña de posibilidades que probablemente sea posible superar con solo un poco de esfuerzo y seguridad. ingenio. Por ejemplo, alquilar una red de bots (que puede hacerse literalmente por varios dólares) y usar una " low and slow "brute force attack contra el segundo factor, si se conoce la contraseña. Como se señaló en los comentarios, si asumimos 3 suposiciones en una en un millón de probabilidades por "ataque", antes de que se reinicie el código, obtenemos un ~ 3 en un millón de posibilidades de éxito por ataque. Suponiendo que pudiéramos lanzar uno de estos ataques de agudos contra el segundo factor cada 30 segundos, podríamos obtener un 26% de posibilidades de éxito en un par de semanas aproximadamente (100,000 ataques, 1- 0.999997 100000 ), y más del 50% de probabilidad de éxito en aproximadamente un mes (250,000 ataques, 1- 0.999997 250000 ).
Y ten en cuenta que los ataques de fuerza bruta no son el único ataque posible contra el segundo factor o el mejor, o lo más probable ... probablemente sean la peor forma de atacar este segundo factor, y son Es probable que sea al menos algo factible. No es que sea difícil convencer a un proveedor de servicios de telefonía celular para que ceda el control de una cuenta / número de teléfono (para recibir el mensaje SMS 2FA), o robe un llavero, o explote vulnerabilidades en el propio sistema 2FA , y así sucesivamente.
En un nivel alto, 2FA se trata de verificar a alguien como un usuario autorizado de dos maneras diferentes. "Algo que sabes, y algo que tienes". Las personas son malas para generar secretos indiscutibles (algo que saben), además de ser malas para mantenerlos en secreto, y las personas tampoco son excelentes para mantener el control sobre las cosas físicas (algo que tienes) ... pero son mucho más probables. para poder hacer una o la otra en un momento dado. Mientras pueda hacer una o la otra, 2FA mantendrá mi cuenta [relativamente] segura. Por sí solo, ese segundo factor es poco más que una contraseña muy, muy débil, (al menos según lo implementado por la mayoría de los sitios web / servicios web) y las personas que protegen sus cuentas con contraseñas muy, muy débiles es una de las razones por las que 2FA existe en el espacio de consumo hoy.
Entonces, sí, las contraseñas siguen siendo necesarias con la mayoría de los 2FA, y el cambio ocasional de contraseñas es una precaución inteligente. La debilidad relativa del segundo factor en las implementaciones típicas significa que no es lo suficientemente seguro para valerse por sí solo, sin el secreto de una buena contraseña para el primer factor de autenticación. Y debido a que aún se requiere una buena contraseña como primer factor, eso significa seguir buenas prácticas de contraseña (contraseña segura, no reutilizarla, cambiándola ocasionalmente).
No. Diría que el dispositivo 2FA en cuestión protegerá su cuenta más que la contraseña. La idea detrás del dispositivo 2FA es evitar que alguien remoto a usted acceda a su cuenta. Por ejemplo, hackearlo desde el otro lado del globo. (NOTA: NO se aplica a ciertos tokens basados en eventos con 6/8 dígitos, ver más adelante)
Sin embargo, cambiar la contraseña es una medida para evitar que la contraseña sea robada y / o adivinada, por ejemplo, la base de datos de contraseñas filtradas sin conocimiento. O si alguien te surfeaba por el hombro. O si la contraseña se filtró debido a un troyano o virus en una computadora de terceros que utilizó.
Cuando usa un token 2FA, si el token está completamente basado en software, existe la posibilidad de que un adversario con acceso físico a su token de software lo haya copiado. En tales casos, cambiar la contraseña puede bloquear efectivamente a un atacante con una "Semilla de Token" robada, para que no use su cuenta.
Sin embargo, si utiliza una tecnología de token seguro que no se puede copiar, por ejemplo, un token físico, YubiKey, token basado en tarjeta inteligente o incluso un token basado en teléfono inteligente que usa hardware de almacenamiento basado en hardware , entonces está seguro y no necesita cambiar la contraseña. Incluso podría usar una contraseña fácil como "Contraseña1".
La posibilidad de que alguien robe físicamente el token es mínima, y si eso sucediera, sería capaz de detectar esto fácilmente ("¿Dónde está mi token?"), y luego realizar acciones para restablecer y bloquear el token robado .
Dependiendo de la tecnología de token, existe el riesgo de que el código del token se pueda forzar de manera bruta. Los tokens basados en el tiempo no tienen esta limitación, ya que siempre puede imponer un límite de tiempo de 30 segundos después de 3 inicios de sesión fallidos, y será imposible forzar el token, ya que cambia cada 30 segundos. Lo mismo se aplica al token basado en desafío, solo genera un nuevo desafío para cada intento, por lo que cada intento tendrá un "código de token correcto" diferente, por lo que el atacante debe adivinar el código del token en el primer intento.
Sin embargo, un "token basado en eventos", tiene el riesgo de que alguien sea objeto de fuerza bruta, a menos que el código del token tenga caracteres suficientes para no ser forzado de forma bruta (por ejemplo, Yubikey es un token seguro basado en eventos que no puede ser de fuerza bruta Pero los tokens basados en eventos de 6 dígitos no son seguros.
Lea otras preguntas en las etiquetas passwords authentication multi-factor password-cracking