Le facilitará las cosas a quien quiera comprometer su contraseña, independientemente de ese segundo factor. Tienes la impresión de que cualquier segundo factor será más seguro que el primero. Piensa en eso por un momento.
Imagina que confías en la empresa Acme Dual Factor. Confía en que ellos serán su " supervisor " en el sentido de que usted tiene una clave, y ellos tienen la otra. La gallina o el concepto de huevo. Si uno fuera así de seguro, no necesitarías el otro.
Lo que he hecho para gestionar contraseñas complejas cada una diferente en muchos sistemas es que me he hecho un marco mental para recordarlas. Se basa en el concepto "algo que eres, algo que tienes y algo que sabes".
Something I have: (A Gmail account) Gm@!l
Something I know: (password I choose) f!d0
Something I am: (from New York so I will use) y@nkees
"Tomaría una PC de escritorio aproximadamente 3 quintillones de años" enlace
Hagamos esto de nuevo.
Something I have: my bank login (C!t!b@nk)
Something I know: my phone number ... shifted - @)@%%%(*&^
Something I am: from New York
C!t!b@nk.@)@%%%(*&^.brooklyn
No es mi banco, pero Gmail:
GM@!l.@)@%%%(*&^.brooklyn
¿Hotmail?
H0tM@!l.@)@%%%(*&^.brooklyn
Estas son cosas que NUNCA puedo olvidar. Mi número de teléfono tiene turno. De dónde soy, y qué es lo que tengo. Hay muchos mecanismos para comprometerse con la memoria para recordar contraseñas ultra seguras. Mi contraseña de Truecrypt es de 26 caracteres, mi inicio de sesión, 21. Contraseñas completamente DIFERENTES. Los recuerdo a todos porque creé mi framework. Los respaldo utilizando Keepass para su custodia.
Ahora, alguien vendrá y dirá: "la vulnerabilidad está en su marco" y señalaré, las probabilidades de comprometer CUALQUIERA de esos bits de datos a través de decir "reconocimiento social" son absurdas.