¿Es seguro usar una contraseña débil siempre y cuando tenga autenticación de dos factores?

Específicamente para Google , si utiliza la autenticación de dos factores, es seguro "debilitar" su contraseña "con una contraseña de 16 caracteres con un espacio de búsqueda del orden de 10 ³⁰ a una contraseña de 8 caracteres con un espacio de búsqueda del orden de 10 ¹⁴ "siempre que use una buena contraseña de 8 caracteres (es decir, completamente aleatoria y no se reutilice en los sitios ).

La fuerza de la autenticación de dos factores radica en el supuesto de que los dos factores requieren diferentes tipos de ataque y es poco probable que un solo atacante realice ambos tipos de ataques en un solo objetivo. Para responder a su pregunta, debemos analizar qué ataques son posibles con contraseñas más débiles en comparación con contraseñas más seguras y qué tan probable es que alguien que sea capaz de atacar contraseñas más débiles pero que ya no las contrate, atacará el segundo factor de autenticación.

Ahora el delta de seguridad entre "una contraseña de 16 caracteres con un espacio de búsqueda del orden de 10 ³⁰ " y "una contraseña de 8 caracteres con un espacio de búsqueda del orden de 10 ¹⁴ "no es tan grande como puedes pensar, no hay tantos ataques a los que la contraseña más débil sea susceptible, pero la más fuerte no lo es. Reutilizar las contraseñas es peligroso independientemente de la longitud de la contraseña. Lo mismo ocurre con MITM, los registradores de claves y la mayoría de los otros ataques comunes a las contraseñas.

El tipo de ataques en los que la longitud de la contraseña es significativa son los ataques de diccionario, es decir, los ataques en los que el atacante realiza una búsqueda exhaustiva de su contraseña en un diccionario. Obviamente, no es factible probar todas las contraseñas posibles en la pantalla de inicio de sesión para un espacio de búsqueda de 10 ¹⁴ , pero si un atacante obtiene un hash de su contraseña, puede ser factible revisar este hash para buscar un espacio de búsqueda de 10 ¹⁴ pero no para un espacio de búsqueda de 10 ³⁰ .

Aquí es donde es importante el hecho de que haya especificado Google en su pregunta. Google se toma en serio la seguridad de las contraseñas y hace lo que sea necesario para mantener seguras sus contraseñas de hash. Esto incluye la protección de los servidores en los que residen las contraseñas con hash y el uso de sal, pimienta y estiramiento de claves para frustrar a un pirata informático que de alguna manera ha logrado obtener las contraseñas con hash.

Si un atacante ha logrado burlar todo lo anterior, es decir, puede obtener la base de datos de sales y contraseñas con hash de Google y puede obtener el secreto y es capaz de realizar una búsqueda exhaustiva con la extensión de la clave en un espacio de búsqueda de 10 ¹⁴ , luego, a menos que usted sea el director de la CIA, el atacante no perderá tiempo en piratear su teléfono para evitar el Segundo factor de autenticación: estarán demasiado ocupados hackeando los cientos de millones de cuentas de Gmail que no usan autenticación de dos factores. Un hacker no es alguien que se dirige específicamente a ti, es alguien que se dirige a todo el mundo.

Si tus datos son tan valiosos que un pirata informático tan poderoso te atacaría específicamente, entonces no deberías poner tus datos en Gmail en primer lugar. En este caso, no debería colocarlo en ninguna computadora que esté conectada a Internet.

Una contraseña débil + autenticación de dos factores podría ser más segura que una contraseña segura sola, pero será menos segura que una contraseña segura + autenticación de dos factores.

Todo depende de lo débil que se vaya: si va hasta el final y hace que la contraseña sea trivial, terminará con la autenticación de un factor (el mensaje de texto de Google a su teléfono). Pero esto podría ser más seguro que su contraseña segura original.

En primer lugar, el concepto fundamental de TFA : - algo que el usuario sabe (la contraseña que está usando) - algo que el usuario tiene (en el caso de Google, este es su teléfono: le envían el código de verificación en el número de teléfono que proporcionó)

Primero que nada, debes entender eso a juzgar por lo que dijiste:

  

Pero escribir esas contraseñas todo el tiempo es un verdadero problema,   especialmente en un teléfono o tableta.

esto significa que la mayor parte del tiempo está utilizando gmail desde su teléfono, por lo que si le robé o quité su teléfono por algún tiempo, su TFA se convirtió en solo OFA con su contraseña. Le diré aún más, que en algunos países, si tiene conexiones con personas que trabajan en compañías móviles y tienen acceso adecuado, solo pueden emitir a una persona su número de teléfono. Otra cosa es que el atacante puede interceptar el proceso de autenticación, por lo que quiero decir que un atacante solo puede tomar su teléfono correctamente cuando se supone que recibe un mensaje. Después de tener este paranoico empezaré de otra manera

Solo piense un poco: TFA se usó hace mucho tiempo y ahora se usa con millones de clientes todos los días, con un espacio de 10000 (número de 4 dígitos). Esta es tu tarjeta bancaria. ¿Con qué frecuencia fue mal utilizada su tarjeta durante toda su vida? Supongo que no mucho. Y estoy bastante seguro de que la mayoría de la gente preferiría obtener su dinero en lugar de leer su correo electrónico.

Otro punto: Google no es la peor compañía y realmente se aseguran de que sus datos estén seguros (si alguien los prueba, perderán ante sus competidores, quienes se asegurarán). Así que estoy bastante seguro de que manejan todo de manera correcta y el punto por el que implementaron TFA es aprovechar las contraseñas bajas.

Esto nos lleva a uno de los problemas más importantes en materia de seguridad: sus medidas de seguridad deben ser adecuadas para el tipo de información que intenta mantener en secreto. Cada vez que escucho algo como: "Utilizo una contraseña de 40 dígitos para acceder a mi pronóstico del tiempo para mañana", mi pregunta es ¿Por qué usaré solo 123 como contraseña? Qué sucederá si lo obtengo; simplemente creará otra cuenta. Entonces, cuál es el punto. Por supuesto esto es exagerado.

Pero si crees que tu correspondencia es tan importante que alguien mantendrá tu teléfono y tendrá 16 caracteres de fuerza bruta para conseguirlo, lo más probable es que Gmail no sea bueno para ti, así como lo más probable es que caminar por la calle sin guardaespaldas también.

Has estructurado tu pregunta como su propia respuesta.

¿Puedes relajarte? Sí. La implementación de un segundo factor agrega seguridad.

Estaría dispuesto a apostar a mi pago de la próxima semana de que si agrega 2Factor y elimina su contraseña de 32 a 31 caracteres, no ha eliminado la seguridad por ningún margen apreciable. No estoy dispuesto a hacer la misma apuesta si sueltas la longitud de la contraseña a 2 caracteres. ¿Dónde está el límite? ¿Cuántos caracteres vale 2F? Esa es la pregunta que quiero que se responda.

La pregunta relevante es ¿cuánto puedes relajar? ¿Qué tan resistentes son cada una de las mitigaciones? ¿Qué tan independiente? Esas son las preguntas del dinero.

Bueno, se trata de preferencias personales. Gmail no introdujo la autenticación de 2 pasos, por lo que las personas pueden usar contraseñas débiles. Está ahí solo como una capa adicional de seguridad. Aunque hay muy pocas posibilidades de meterse en problemas con una contraseña débil con la verificación de 2 pasos. Hay una lista de códigos de respaldo y contraseñas específicas de la aplicación, en caso de que el usuario no pueda acceder a su teléfono. Pero aún así, habría usado una contraseña segura, aunque no la que lleva millones de siglos en fuerza bruta, 20-30 años son suficientes para mí. ;)

Sí, de hecho, no hagas que la contraseña sea demasiado fácil, de modo que básicamente terminas con un factor de autenticación (es decir, el token).

La vulnerabilidad en estos esquemas de contraseña de dos etapas es el canal de entrega, es decir, proveedores inalámbricos, redes de enrutamiento de SMS, su teléfono. Cualquiera de estos podría ser atacado para interceptar la contraseña de un solo uso enviada por Google.

Pero los ataques contra cuentas rara vez son estrictamente técnicos, y casi siempre implican jugar con humanos en algún lugar de la cadena.

Tan bueno como es el sistema de Google, Wired está ejecutando un artículo describiendo un ataque que anula completamente sus protecciones.

Los atacantes se hicieron pasar por un titular de una cuenta inalámbrica para agregar un número de reenvío a la cuenta, luego seleccionaron la opción 'llamarme' para recibir el código, en lugar de SMS. Cuando Google llamó con la OTP, la llamada se reenvió al teléfono del atacante y obtuvieron acceso a la cuenta de Google.

Definitivamente es una cuestión de confianza, como señala Henning, pero hay un factor importante que agregar:

Si la autenticación bidireccional se basa en un bronceado móvil, entonces solo se agrega una capa adicional de seguridad si el teléfono no accede al sitio. Si no son dos capas, en realidad es solo una. Por lo tanto, debilitar a uno no es una buena idea.

Editar: acabo de ver que CodesinChaos ya publicó esta respuesta.

Si no desea escribir su contraseña cada vez que puede usar un administrador de contraseñas como Keepass , que tiene una función de tipo automático. Ahora todas mis contraseñas son diferentes y al menos 20 caracteres de randoms.

Gmail y Dropbox utilizan OTP (contraseña de un solo uso) como el segundo factor entregado a un teléfono móvil o calculado en un dispositivo que posees: 'lo que tienes'. Esto es mucho más seguro que una contraseña recordada: "lo que sabes".

Como usted señala, el único escenario es: 1. Lo que tiene (teléfono móvil o fob que genera o recibe la OTP) se pierde o se lo roban. 2. La contraseña débil, lo que usted sabe, se adivina o se fuerza en forma brutal en N intentos 3. El generador de OTP y / o el mecanismo de inicio de sesión no niegan el acceso antes de N intentos.

Como ejemplo, uno de mis clientes tiene acceso VPN remoto, con el id de inicio de sesión como correo electrónico (muy fácil de adivinar) y una contraseña compuesta por un PIN de 4 dígitos concatenado con una OTP de 6 dígitos. Si mi teléfono con el generador de OTP fuera a ser robado, el ladrón tendría que adivinar el PIN de 4 dígitos. Si el acceso remoto se agota después de 5 o 6 intentos, los cálculos indican que sería bastante seguro.

Este mecanismo sería exactamente equivalente a un PIN en su teléfono que nadie sabe. Si está utilizando Gmail para aplicaciones o Exchange, es posible que desee aplicar una política de PIN en su teléfono móvil, negando el acceso al generador de mensajes de texto OTP.

Conclusión: la contraseña débil (al menos 4 caracteres / dígitos) y la OTP (ficha de dos factores de 6 digis) brindan más protección contra la fuerza bruta que solo una contraseña segura de 10 dígitos. Sin embargo, esto no sería efectivo en la condición de que la contraseña débil pueda ser adivinada socialmente por alguien que también pueda tener acceso a su teléfono móvil o FOB que no esté protegido con un PIN. es decir, un amigo malintencionado que conoce su fecha de nacimiento (contraseña débil) y también tiene acceso a su teléfono móvil desprotegido.

Puede utilizar Keepass , que se ha transferido a varios dispositivos móviles. Configúrela de modo que solo tenga que ingresar una contraseña segura (o más débil, ya que la base de datos es local) de vez en cuando y hacer que inserte automáticamente las contraseñas seguras, por ejemplo. gmail.

Si su dispositivo soporta teclados USB-A, incluso podría considerar usar un Yubikey (nano ) con una contraseña estática (o en su valor predeterminado OTP , por ejemplo, vinculado a LastPass ). Entonces, tu único inconveniente (y, sin embargo, la seguridad) sería presionar el pequeño botón.

editar Ya que Yubikey NEO es compatible con NFC, también puedes usarlo en los teléfonos respectivos . Encontré algunas instrucciones sobre cómo usar eso con LastPass aquí