¿La autenticación de dos factores reduce la necesidad de una contraseña larga? [duplicar]

16

Recientemente, he habilitado la autenticación de 2 factores en varias aplicaciones web, principalmente con Google Authenticator. ¿Significa esto que se reduce la importancia de una contraseña segura en cada sitio? Preferiría usar contraseñas que sean fáciles de escribir en un dispositivo móvil, si eso no compromete la seguridad demasiado.

EDIT

Mi necesidad particular de querer acortar / simplificar las contraseñas es aproximadamente el tiempo que se tarda en ingresar la puntuación en una tableta / teléfono: 3 toques (,!,) y 2 para una letra mayúscula. A partir de estas respuestas, estoy pensando que un mejor enfoque sería una contraseña más larga que solo esté en minúsculas y números, posiblemente con letras repetidas. (Jamming 'kkkkk' al final de una contraseña probablemente lo haría un poco más fuerte, al tiempo que es muy rápido de ingresar).

[nota: originalmente publiqué esto en Superusuario, ya que la publicidad de este sitio dice que es para "profesionales de seguridad de la información"]

    
pregunta Steve Bennett 29.01.2014 - 13:06
fuente

4 respuestas

8

Es una noción muy subjetiva, y las respuestas a esta se basarán en gran medida en la opinión. La respuesta es básicamente: Kinda.

Para expandir:

  • 2FA aumenta significativamente el tiempo que se tarda en penetrar en un sistema, por lo que una vista sería que podría reducir la calidad de cualquier contraseña, siempre y cuando, en general, siga aumentando la dificultad de ingreso.
  • Otra vista, IMO igualmente válida, es que debido a que 2FA no hace que el registro sea significativamente más difícil o complicado, disminuir la calidad de una contraseña, cuando ya está acostumbrado a usar contraseñas, sería una tontería, porque es una disminución en seguridad, no necesita hacer .
  • Tenga en cuenta que la mayoría de los sistemas 2FA necesitarán un sistema de respaldo para usar si el generador de token 2FA, ya sea un teléfono, un llavero o cualquier otro, no funciona. Google, por ejemplo, puede enviar mensajes de texto a otro teléfono o usar códigos de respaldo de un solo uso. Si ese es el caso, entonces tener una buena contraseña es un factor extra de protección útil, dado que no tiene have para usar el 2FA.

En general, diría que aún debe usar una buena contraseña para protegerse contra cualquier vulnerabilidad que surja en 2FA o en el resto del sistema en su totalidad.

    
respondido por el Owen 29.01.2014 - 13:19
fuente
19

En su mayoría, la autenticación de dos factores reduce la necesidad de contraseñas seguras de la misma manera que los cinturones de seguridad en los automóviles reducen la necesidad de frenos eficientes. Cuando conduce su automóvil, su probabilidad de morir durante un viaje dado es la probabilidad de que tenga un accidente, multiplicada por la probabilidad de que lo maten cuando ocurre un accidente. Los buenos frenos reducen la primera probabilidad, mientras que el cinturón de seguridad reduce la segunda probabilidad. Para una probabilidad determinada de morir, si mejora el cinturón de seguridad (por ejemplo, abrochándolo, comparado con no abrocharlo), puede tolerar un frenado menos efectivo.

La relación entre los factores de autenticación es algo similar. Utiliza 2FA para que la falla de un factor no otorgue acceso a los atacantes. Entonces, si una contraseña es un factor, entonces el segundo factor puede salvar tu skin si la contraseña resultó ser débil.

Un ejemplo extremo es una tarjeta inteligente : la mayoría de las tarjetas bancarias utilizan un código PIN de 4 dígitos, que, para un La contraseña, es patéticamente débil. Sin embargo, la tarjeta se bloqueará después de 3 códigos PIN incorrectos, lo que hará que las contraseñas tan malas sean tolerables. El "segundo factor" aquí es la propiedad física de la tarjeta: los atacantes no pueden probar los códigos PIN sin tener la tarjeta en la mano y hablar con la tarjeta, bajo el alcance de la regla de los 3 códigos incorrectos.

En última instancia, la elección depende de usted, según un análisis de riesgo. Personalmente, me abrocho el cinturón de seguridad y mantengo mis frenos en buenas condiciones; lo que significa que cuando uso 2FA, esto no es para permitir el uso de contraseñas deficientes en un nivel de riesgo sin cambios, sino para complementar las buenas contraseñas para un nivel de riesgo mucho más bajo.

    
respondido por el Thomas Pornin 29.01.2014 - 21:01
fuente
2

Depende del ataque por el que estés preocupado, pero no realmente. Un ataque fuera de línea contra el hash de contraseña no será más seguro ya que el segundo factor no es un componente de la comprobación del hash. Por otro lado, previene efectivamente los ataques en línea, pero los ataques en línea podrían prevenirse efectivamente mediante un simple límite al número de intentos antes de bloquear la cuenta.

Por lo tanto, el único ataque en el que DEBERÍA ser efectivo incluso contra una contraseña débil es un ataque sin conexión, ya que los métodos en línea no deberían permitir adivinar y para un ataque sin conexión, el segundo factor no hace nada para evitar el compromiso de la contraseña.

Además, si la tabla hash se ve comprometida por un ataque fuera de línea, también existe una posibilidad razonable de que los dispositivos HOTP y TOTP también se vean comprometidos, ya que las claves pueden filtrarse desde esa misma tabla. Si tiene una contraseña segura, todavía se le ofrecería cierto nivel de protección ya que el hash tendría un valor limitado para el atacante, pero una contraseña débil se rompería rápidamente y el atacante podría acceder a su cuenta.

    
respondido por el AJ Henderson 29.01.2014 - 15:25
fuente
-1

Ok.No, la verificación en dos pasos ciertamente no reduce la necesidad de una contraseña larga. Debe mantener su contraseña larga y usar números, letras, MAYÚSCULAS y puntuación. Solo porque tiene una verificación en dos pasos no significa que lo ha hecho lo suficientemente seguro como para evitar el pirateo. También debe cambiar su contraseña con frecuencia.

    
respondido por el user38175 30.01.2014 - 05:50
fuente

Lea otras preguntas en las etiquetas