Cuando se usa con un segundo factor, ¿es todo el sistema (contraseña + segundo factor) lo suficientemente fuerte como para que las desventajas de las contraseñas se vuelvan irrelevantes?
Para la mayoría de los propósitos, tener un segundo factor es probablemente suficiente para superar los problemas con las contraseñas, asumiendo la condición bastante importante de que implementes el segundo factor correctamente. En particular:
- Necesita un mecanismo de recuperación correctamente definido que aún sea seguro. Los códigos de recuperación de OTP proporcionados por muchos sitios que admiten 2FA son un buen ejemplo de cómo hacerlo correctamente.
- Necesita el soporte adecuado para permitir varios factores secundarios independientes. Por ejemplo, permitir la asociación de varias claves U2F con una cuenta determinada, o múltiples huellas digitales o múltiples aplicaciones TOTP. La razón por la que esto es importante es que, a diferencia de una contraseña, el segundo factor generalmente no es fácil de reemplazar, por lo que es importante tener una copia de seguridad de emergencia.
Suponiendo que la respuesta a la primera pregunta es "no, las desventajas de la contraseña hacen que el sistema sea demasiado débil", ¿qué alternativas hay para que las utilicemos en el futuro?
No creo que realmente haya alguno que esté casi listo, en gran parte porque tienen sus propios problemas que, sin duda, son mucho más complicados de tratar que las contraseñas. La biometría todavía es bastante fácil de engañar y, para empezar, ni siquiera son completamente confiables. Los dispositivos de seguridad de hardware son generalmente una broma, ya que se implementan actualmente, y son mucho más fáciles de perder que las contraseñas. Otras tecnologías tienen sus propios problemas adicionales.
Más allá de eso, me gustaría desafiar la premisa de la pregunta. Parece que implica que los problemas son inherentes a las contraseñas, pero yo diría que todos se derivan de la forma en que normalmente se utilizan.
En primer lugar, el concepto de una 'contraseña aleatoria fuerte' como la mayoría de la gente piensa que no es realmente tan bueno. Está bastante bien establecido que lo que las personas denominan clásicamente contraseñas seguras (y lo que muchos sitios web aún requieren que usted use) son difíciles de recordar pero fáciles de adivinar para las computadoras, y por lo tanto no son tan útiles. Si, en cambio, utiliza algo similar al enfoque XKCD ( XKCD # 936 ), es bastante trivial recordar, y si se hace correctamente, puede ser increíblemente seguro (especialmente si mezcla idiomas).
Ahora, incluso ignorando eso, la mayoría de las personas en realidad pueden recordar contraseñas clásicamente complejas sin mucha dificultad si las usan con regularidad . El problema aquí es que muchas personas utilizan sesiones de inicio de sesión persistentes (que también son malas por otras razones), y configuran las cosas para recordar sus contraseñas. Si lo escribes en todos los días , lo memorizarás, al menos como memoria muscular, después de unas semanas como máximo.
Además, el punto sobre el almacenamiento débil es irrelevante, porque no es específico de las contraseñas. Es tan posible que los sistemas 2FA tengan los mismos problemas para el segundo factor como la contraseña.
En conjunto, eso deja la reutilización, pero sigue siendo un problema para muchas alternativas (no es como si realmente pudiera usar una retina diferente para cada exploración de retina o un dedo diferente para cada exploración de huellas digitales).