1

Этот вопрос касается только онлайн-паролей. (не шифрование и т. д.)

Я знаю, что легко взломать короткий пароль или найти хэш в радужной таблице. Но учитывая то, как Google, Facebook или сайты онлайн-банкинга заставляют вас вводить капчи / блокировать вас после нескольких неудачных попыток / требуют двухфакторной аутентификации, имеет ли смысл иметь надежные пароли для онлайн-аккаунтов?

Я не имею в виду использование мусора, как котенок123 и т.д. Но даже два слова Diceware мне кажутся достаточными.

Я что-то здесь упускаю?

1 ответ1

3

Да, конечно!

Там нет сомнений по этому поводу.

В подавляющем большинстве реализаций пароли являются единственной мерой безопасности, защищающей вашу учетную запись.

Другие механизмы, которые вы упомянули: капча или время блокировки при повторных попытках ввода пароля, лишь добавляют небольшое препятствие каналу, который вы используете для входа в систему. Они не имеют никакого значения, если база паролей была украдена и перебита в автономном режиме.

Второй фактор аутентификации повышает безопасность канала аутентификации, но он не должен заменять основные средства аутентификации, будь то полностью или частично.

Эти дополнительные меры часто плохо реализуются и их легко преодолеть в целевых атаках.

Легкий тест для этого - это то, что вам нужно сделать, чтобы заменить / перезапустить 2-й фактор. Если это личное посещение отделения банка, где вы получаете новый печатный планшет или токен безопасности, то вы можете предположить, что это безопасно, если это вызов в колл-центр и предоставление вашего адреса и девичьей фамилии вашей матери, после чего 2-й фактор отключен для вас, чтобы войти только с паролем, то это бесполезно.

Пользователи также не принимают меры предосторожности для отделения второго фактора от основных средств аутентификации. Например, используйте браузер + сохраненный пароль + генератор одноразового кода на одном мобильном устройстве.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .