¿Es 2FA realmente necesario con contraseñas largas y de alta entropía?

13

Me preguntaba si la autenticación de dos factores es realmente necesaria si utiliza contraseñas largas y únicas de alta entropía para cada sitio. Desde mi experiencia, 2fa solo refuerza la seguridad un poco más, agregando otra clave necesaria para entrar en una cerradura. Pero si la primera clave es suficiente (20 caracteres más), ¿realmente importa?

Solo inicio sesión en sitios en máquinas en las que confío, por lo que no estoy muy preocupado por los registradores de teclas o el malware que se instaló anteriormente en la máquina.

Me parece que el propósito principal de 2fa es rellenar contraseñas malas o proteger a los usuarios contra ataques de reproducción.

    
pregunta Joseph L. 21.02.2014 - 02:38
fuente

4 respuestas

26

Una mejor comparación es como tener un guardia dentro de una puerta cerrada. Si pierde su llave, el guardia todavía puede impedir que alguien que usted no está caminando. No es posible garantizar que ni la contraseña más segura se verá comprometida debido a algún ataque.

Tener múltiples factores, especialmente uno que nunca se comparte directamente, agrega un nivel adicional de seguridad adicional. Aún gana mucho con la autenticación de dos factores y aún la necesita por la misma razón por la que no usa una contraseña débil cuando usa la autenticación de dos factores.

La mejor seguridad es usar una versión fuerte de ambos. Simplemente no nos preocupamos por tres factores porque, si bien uno sería fácil de transigir, dos sería mucho más difícil de transigir al mismo tiempo y si pueden obtener dos al mismo tiempo, tres no son mucho más difíciles. p>     

respondido por el AJ Henderson 21.02.2014 - 03:39
fuente
7

Puede tener la contraseña más segura disponible y quizás la use para iniciar sesión en Adobe. Y luego, he aquí las contraseñas encriptadas de Adobe ( ¡MALO ADOBE! ¡MALO! Debes usar PBKDF2, Bcrypt o Scrypt para las contraseñas de hash, ¡no las cifras!) Se filtran. Si los atacantes también hubieran robado la clave de cifrado de esas contraseñas, entonces el atacante ya tendría su contraseña larga y aleatoria.

Si también tuvieras algún tipo de autenticación de dos factores, entonces mientras los atacantes podrían ingresar instantáneamente a millones de cuentas de otros usuarios, tendrían otra capa para romper antes de que pudieran alcanzar la tuya.

Por supuesto, aún tendría que cambiar su contraseña en cualquier lugar que la use.

La lección: Nunca asuma que sus "sitios de confianza" tienen buenas prácticas de almacenamiento de contraseñas. Adobe no lo hizo. Sony no lo hizo.

    
respondido por el Anti-weakpasswords 21.02.2014 - 05:21
fuente
5

Las cosas que se usan para autenticarse son típicamente "algo que sabes" (una contraseña), "algo que tienes" (una clave física, una identificación) o "algo que eres" (huella digital, huella, voz, etc.)

La idea detrás de la autenticación de dos factores es utilizar dos de esos dominios en lugar de uno.

No importa cuán complicada sea su contraseña de un factor, si la obtengo, estoy dentro. Si requiere que ingrese un código enviado a un teléfono celular, entonces se requiere la posesión de ese teléfono (o la capacidad de interceptación de su Los mensajes SMS, que están más allá de mi modelo de amenaza personal) TAN ADEMÁS DE esa contraseña, es un poco más difícil (para un compañero de trabajo, compañero de habitación, etc.) hasta prácticamente imposible (a alguien que está a 1 km). Si requiere la contraseña + una contraseña del token, entonces necesito tener el token, la misma idea, etc. ...

Como factor adicional, dos factores ofrecen cierta protección contra contraseñas incorrectas.

Como usuario, no puedo comprometerme por un solo error (filtrar mi contraseña, perder mi teléfono o token). Como administrador, tengo un grado mucho más alto de confianza de que el usuario es quien dice ser.

Los ataques de repetición, por cierto, se pueden prevenir mediante esquemas de contraseña de un solo factor (S / KEY), que no veo con mucha frecuencia en estos días.

Además, con respecto a sus "únicos sitios en los que confío", solo porque confía en algo no significa que no deba protegerse.

    
respondido por el quadruplebucky 21.02.2014 - 03:30
fuente
3

2FA no es lo mismo que una contraseña con el doble de longitud.

2FA significa que hay dos cosas diferentes que te protegen, tener una es un único punto de falla.

    
respondido por el pacifist 21.02.2014 - 07:24
fuente

Lea otras preguntas en las etiquetas