Me he dado cuenta de que, desde un punto de vista de UX (personal), 4 números que utiliza mi banca en línea parecen ser un punto dulce en términos de retenerlo en mi cabeza de mirar mi teléfono y escribirlo. Pero los códigos de Google tienen 6 dígitos, y my.gov.au (sitio web de mala calidad para presentar declaraciones de impuestos, etc.) es algo ridículo, como 8 letras y números.
¿Es la longitud adicional realmente un impulso importante en la seguridad? ¿Y si es así faltan los bancos?
Esto realmente depende del sitio, el nivel de información que se almacena y el TTL (tiempo de vida) para el registro. Google tiende a manejar muchas cuentas diferentes para personas: gmail, YouTube, blogger, cuentas de Android, historiales de búsqueda, contactos, calendarios, etc .; Todas las cosas que quiere un pescador. Del mismo modo, su aplicación, Google Authenticator , cambia las claves con frecuencia.
Es probable que su sitio de impuestos opte por la ilusión de seguridad, pero pueden tener una razón legítima, si se comprometen dos factores, por ejemplo, digamos que está usando una aplicación en su teléfono y su correo electrónico va a su teléfono. y su teléfono es robado, entonces realmente no importa cuánto tiempo son las frases de contraseña. Sin embargo, si el TTL es largo, entonces si el sitio no está equipado para bloquear una máscara DDoS para alguien que obliga a una cuenta específica, entonces es una gran idea elegir una clave más larga. Si el sistema de crédito es similar al de los estados, entonces están tratando de proteger su identidad.
Si el TTL es corto, entonces los números más cortos están bien. Entonces, si tienen 30 segundos para adivinar un código de 6 dígitos, hay menos posibilidades de una colisión colisión . La mayoría de los servidores web no permiten tantas conexiones por segundo como sea necesario para forzar una contraseña de una longitud más larga que algunos caracteres, a menos que sean comerciales. Los servidores comerciales tienden a permitir más conexiones simultáneas a la misma base de datos.
Idealmente, el marco de la aplicación notaría los intentos múltiples de intrusiones y bloquearía la cuenta inmediatamente, por lo que, de nuevo, volver a UX no es demasiado largo, pero tampoco demasiado corto.
Lea otras preguntas en las etiquetas passwords authentication multi-factor