Supongo que se consideró en un momento dado y que hay una buena razón para no hacerlo, solo tengo curiosidad por saber por qué. Estoy seguro de que hay muchas personas que luchan por recordar una sola contraseña para un sitio, pero aparte de eso, requerirían dos o tres contraseñas para iniciar sesión en un sitio web realmente para mejorar la seguridad, o usted ¿Obtienes un beneficio similar simplemente aumentando la complejidad de tu contraseña?
Depende de lo que quieras decir con "mejorar la seguridad". Por un lado, sí, es más información para que robe un ladrón, pero por otro lado, si pueden robar una contraseña, es probable que puedan robar todas sus contraseñas.
Para obtener un gran debate sobre la autenticación multifactor, consulte esta respuesta . por @tylerl .
Las Notas de Cole son: nos gusta tener múltiples elementos de autenticación que
cae en diferentes categorías con respecto a "algo que tienes", "algo que eres" y "algo que sabes".
Tener elementos de autenticación de más de una categoría (ej .: una contraseña y una huella digital, o una contraseña y un código SMS en su teléfono) se denomina correctamente autenticación multifactor , mientras que tiene múltiples Los elementos de la misma categoría se denominan autenticación mutli-step .
El robo de "algo que usted sabe" generalmente requiere plantar un keylogger o un sniffer de archivos en su computadora, verlo escribir sus contraseñas, robar el papel en el que lo escribió, etc.
robar "algo que tienes" normalmente requiere sacar algo de tu oficina después de las horas de trabajo, robar la bolsa de tu computadora portátil con el token de generación clave, etc.
robar "algo que eres" normalmente requiere algún tipo de acceso a tus datos biométricos.
Por lo tanto, tener múltiples elementos de la misma categoría agrega alguna barrera al robo, pero no mucho, ya que robar todas las contraseñas no es mucho más difícil que robar una contraseña, robar todos los objetos físicos no es mucho más difícil que robar un objeto físico, etc. Por lo general, el inconveniente supera con creces la seguridad adicional. Es mucho mejor exigir a los ladrones que realicen un robo de datos y un robo físico, etc.
La principal preocupación con la implementación de múltiples contraseñas es que los usuarios tienden a tener dificultades para recordar una contraseña, y agregar más solo hace que sea más probable que comiencen a escribir cada una de ellas, lo que implica una pérdida de seguridad. / p>
Además, incluso si no lo escriben, todavía hay un único punto de falla y las múltiples contraseñas no lo protegerán contra las formas más comunes de robarlas, ya sea el windsurf, el Hombre en el Medio y un registro de datos.
Tercero, ¿qué es impedir que un usuario use Passw0rd, Pa $$ word y P @ ssword o algo similar en ese sentido? Estarán muy inclinados a usar variaciones de la misma contraseña o la misma combinación que usaron en un sitio web diferente que implementaría lo mismo.
En general, las contraseñas no son realmente tan seguras como la mayoría de las personas piensan, y en su mayoría están ahí como un obstáculo para las amenazas comunes, pero de ninguna manera son perfectas. La implementación del concepto de múltiples contraseñas que hace parece aumentar la seguridad es 2FA.
Tener una contraseña doble / triple hace que el proceso de inicio de sesión sea más engorroso para los usuarios y no ofrece seguridad adicional porque una vez que la máquina cliente o el servidor se ven comprometidos, el atacante tiene acceso a todas las contraseñas; no hace ninguna diferencia si el usuario tiene una o dos o tres contraseñas para iniciar sesión.
Lo que realmente aumenta la seguridad es la autenticación multifactor.
Tenga en cuenta que una "pregunta secreta" además de una contraseña no es una autenticación multifactor.
Lea otras preguntas en las etiquetas passwords