Creo que el título lo dice todo, pero para elaborar:
Si, digamos, alguien encontrara mi código de recuperación, ¿no podrían acceder a mi cuenta? Del mismo modo, ¿podría alguien no solo hackear mi código de recuperación, si se le da suficiente tiempo? En consecuencia, ¿no sería igual de seguro simplemente requerir una contraseña muy larga y generada al azar?
Si, por ejemplo, alguien encontrara mi código de recuperación, ¿no podrían obtener acceso a mi cuenta?
Como dijiste, este es solo un factor. Es por eso que, lo más probable, los códigos de recuperación son PIN simples y tienen un tiempo limitado de vida . Si alguien intercepta este PIN, tiene que averiguar su contraseña real.
Del mismo modo, ¿podría alguien no piratear mi código de recuperación si se le da suficiente tiempo?
El tiempo limitado de vida para el código de recuperación es - principalmente - por este motivo. En el caso de que alguien robe las credenciales de su cuenta, tiene un cierto tiempo para proporcionar el código de seguridad. Esa es una manera de limitar (no prevenir) las técnicas de fuerza bruta.
En consecuencia, ¿no sería igual de seguro simplemente requerir una contraseña muy larga y generada al azar?
Incluso si tiene una contraseña de 24 dígitos que se ha generado aleatoriamente, debe pensar en cualquier otra amenaza de seguridad que exista (por ejemplo, si alguien obtiene acceso en su administrador de contraseñas / computadora / móvil).
Puede encontrar literalmente toneladas de artículos que describen los escenarios de 2FA (o MFA (autenticación de múltiples factores)) y cuáles son los beneficios que ofrece.
Además, para no confundirlo con falso sentido de seguridad mediante el uso de 2FA, es mejor que le dé un - conocido - caso que no funcionó:
Reddit fue hackeado gracias a una configuración de dos factores muy insegura:
Los atacantes entraron en los sistemas de Reddit al comprometer algunas cuentas administrativas de empleados para el almacenamiento en la nube y el código fuente de la empresa. Slowe señala en la publicación del blog que los empleados estaban usando la autenticación de dos factores para proteger estas cuentas cruciales, pero algunos de ellos tenían esa capa de protección configurada con SMS, lo que significa que alguien necesitaría un código enviado a su número de teléfono móvil para completar una Cuenta de Ingreso. El problema es que se sabe que el factor doble basado en SMS es inseguro, ya que los atacantes pueden lanzar un ataque de "intercambio de SIM" para tomar el control de la tarjeta SIM de un usuario y todos los datos que llegan a su número de teléfono.
source
En general, el código de recuperación es una sustitución única del factor 2-solamente, por lo que su compromiso no conlleva un compromiso directo de la cuenta; aún necesita la contraseña del usuario objetivo. Y el phishing es inútil en este caso debido a la naturaleza única de los códigos de recuperación, por lo que sigue siendo mejor que solo contraseñas largas.
Lea otras preguntas en las etiquetas authentication multi-factor