Digamos que tengo una contraseña relativamente segura, pero no quiero usar muchas contraseñas diferentes para cada servicio diferente, y digamos que esos servicios proporcionan autenticación de dos factores mediante una contraseña y un TOTP, por ejemplo como Gmail, Facebook, ... etc
¿Sigue siendo seguro usar la misma contraseña en esos servicios siempre que el segundo factor sea diferente?
Si ese otro factor es suficiente para proteger su seguridad, entonces claro. El punto de las múltiples contraseñas es que si una está comprometida, no todas están comprometidas. Si reutiliza la contraseña y se rompe una cuenta, ese factor se rompe en todos los lugares donde se usa. Si no le importa que un código de una sola vez sea todo lo que se interpone entre un atacante y su cuenta de Gmail, entonces no hay razón para no usar la misma contraseña. Sin duda, es mucho menos seguro, pero también es mucho más utilizable. Es una elección personal basada en lo que crees que la compensación es entre seguridad y facilidad de uso.
Si bien estoy más de acuerdo con @AJ Henderson, si uno de los sitios que usa la autenticación de múltiples factores rompe o cambia su implementación, está en riesgo.
Más allá de su pregunta, como punto general, insto a las personas a usar un administrador de contraseñas, en cuyo caso no hay mucho valor en usar las mismas contraseñas.
Le facilitará las cosas a quien quiera comprometer su contraseña, independientemente de ese segundo factor. Tienes la impresión de que cualquier segundo factor será más seguro que el primero. Piensa en eso por un momento.
Imagina que confías en la empresa Acme Dual Factor. Confía en que ellos serán su " supervisor " en el sentido de que usted tiene una clave, y ellos tienen la otra. La gallina o el concepto de huevo. Si uno fuera así de seguro, no necesitarías el otro.
Lo que he hecho para gestionar contraseñas complejas cada una diferente en muchos sistemas es que me he hecho un marco mental para recordarlas. Se basa en el concepto "algo que eres, algo que tienes y algo que sabes".
Something I have: (A Gmail account) Gm@!l
Something I know: (password I choose) f!d0
Something I am: (from New York so I will use) y@nkees
"Tomaría una PC de escritorio aproximadamente 3 quintillones de años" enlace
Hagamos esto de nuevo.
Something I have: my bank login (C!t!b@nk)
Something I know: my phone number ... shifted - @)@%%%(*&^
Something I am: from New York
C!t!b@nk.@)@%%%(*&^.brooklyn
No es mi banco, pero Gmail:
GM@!l.@)@%%%(*&^.brooklyn
¿Hotmail?
H0tM@!l.@)@%%%(*&^.brooklyn
Estas son cosas que NUNCA puedo olvidar. Mi número de teléfono tiene turno. De dónde soy, y qué es lo que tengo. Hay muchos mecanismos para comprometerse con la memoria para recordar contraseñas ultra seguras. Mi contraseña de Truecrypt es de 26 caracteres, mi inicio de sesión, 21. Contraseñas completamente DIFERENTES. Los recuerdo a todos porque creé mi framework. Los respaldo utilizando Keepass para su custodia.
Ahora, alguien vendrá y dirá: "la vulnerabilidad está en su marco" y señalaré, las probabilidades de comprometer CUALQUIERA de esos bits de datos a través de decir "reconocimiento social" son absurdas.
Lea otras preguntas en las etiquetas passwords authentication multi-factor