¿La autenticación de dos factores reduce la necesidad de una contraseña larga? [duplicar]

Es una noción muy subjetiva, y las respuestas a esta se basarán en gran medida en la opinión. La respuesta es básicamente: Kinda.

Para expandir:

• 2FA aumenta significativamente el tiempo que se tarda en penetrar en un sistema, por lo que una vista sería que podría reducir la calidad de cualquier contraseña, siempre y cuando, en general, siga aumentando la dificultad de ingreso.
• Otra vista, IMO igualmente válida, es que debido a que 2FA no hace que el registro sea significativamente más difícil o complicado, disminuir la calidad de una contraseña, cuando ya está acostumbrado a usar contraseñas, sería una tontería, porque es una disminución en seguridad, no necesita hacer .
• Tenga en cuenta que la mayoría de los sistemas 2FA necesitarán un sistema de respaldo para usar si el generador de token 2FA, ya sea un teléfono, un llavero o cualquier otro, no funciona. Google, por ejemplo, puede enviar mensajes de texto a otro teléfono o usar códigos de respaldo de un solo uso. Si ese es el caso, entonces tener una buena contraseña es un factor extra de protección útil, dado que no tiene have para usar el 2FA.

En general, diría que aún debe usar una buena contraseña para protegerse contra cualquier vulnerabilidad que surja en 2FA o en el resto del sistema en su totalidad.

En su mayoría, la autenticación de dos factores reduce la necesidad de contraseñas seguras de la misma manera que los cinturones de seguridad en los automóviles reducen la necesidad de frenos eficientes. Cuando conduce su automóvil, su probabilidad de morir durante un viaje dado es la probabilidad de que tenga un accidente, multiplicada por la probabilidad de que lo maten cuando ocurre un accidente. Los buenos frenos reducen la primera probabilidad, mientras que el cinturón de seguridad reduce la segunda probabilidad. Para una probabilidad determinada de morir, si mejora el cinturón de seguridad (por ejemplo, abrochándolo, comparado con no abrocharlo), puede tolerar un frenado menos efectivo.

La relación entre los factores de autenticación es algo similar. Utiliza 2FA para que la falla de un factor no otorgue acceso a los atacantes. Entonces, si una contraseña es un factor, entonces el segundo factor puede salvar tu skin si la contraseña resultó ser débil.

Un ejemplo extremo es una tarjeta inteligente : la mayoría de las tarjetas bancarias utilizan un código PIN de 4 dígitos, que, para un La contraseña, es patéticamente débil. Sin embargo, la tarjeta se bloqueará después de 3 códigos PIN incorrectos, lo que hará que las contraseñas tan malas sean tolerables. El "segundo factor" aquí es la propiedad física de la tarjeta: los atacantes no pueden probar los códigos PIN sin tener la tarjeta en la mano y hablar con la tarjeta, bajo el alcance de la regla de los 3 códigos incorrectos.

En última instancia, la elección depende de usted, según un análisis de riesgo. Personalmente, me abrocho el cinturón de seguridad y mantengo mis frenos en buenas condiciones; lo que significa que cuando uso 2FA, esto no es para permitir el uso de contraseñas deficientes en un nivel de riesgo sin cambios, sino para complementar las buenas contraseñas para un nivel de riesgo mucho más bajo.

Depende del ataque por el que estés preocupado, pero no realmente. Un ataque fuera de línea contra el hash de contraseña no será más seguro ya que el segundo factor no es un componente de la comprobación del hash. Por otro lado, previene efectivamente los ataques en línea, pero los ataques en línea podrían prevenirse efectivamente mediante un simple límite al número de intentos antes de bloquear la cuenta.

Por lo tanto, el único ataque en el que DEBERÍA ser efectivo incluso contra una contraseña débil es un ataque sin conexión, ya que los métodos en línea no deberían permitir adivinar y para un ataque sin conexión, el segundo factor no hace nada para evitar el compromiso de la contraseña.

Además, si la tabla hash se ve comprometida por un ataque fuera de línea, también existe una posibilidad razonable de que los dispositivos HOTP y TOTP también se vean comprometidos, ya que las claves pueden filtrarse desde esa misma tabla. Si tiene una contraseña segura, todavía se le ofrecería cierto nivel de protección ya que el hash tendría un valor limitado para el atacante, pero una contraseña débil se rompería rápidamente y el atacante podría acceder a su cuenta.

Ok.No, la verificación en dos pasos ciertamente no reduce la necesidad de una contraseña larga. Debe mantener su contraseña larga y usar números, letras, MAYÚSCULAS y puntuación. Solo porque tiene una verificación en dos pasos no significa que lo ha hecho lo suficientemente seguro como para evitar el pirateo. También debe cambiar su contraseña con frecuencia.