Есть ли причина, чтобы сделать пароли моей учетной записи сильными?
Этот вопрос касается только онлайн-паролей. (не шифрование и т. д.)
Я знаю, что легко взломать короткий пароль или найти хэш в радужной таблице. Но учитывая то, как Google, Facebook или сайты онлайн-банкинга заставляют вас вводить капчи / блокировать вас после нескольких неудачных попыток / требуют двухфакторной аутентификации, имеет ли смысл иметь надежные пароли для онлайн-аккаунтов?
Я не имею в виду использовать мусор, как котенок123 и т. Д. Но даже два слова Diceware мне кажутся достаточными.
Я что-то здесь упускаю?
1 ответ
Да, конечно!
Там нет сомнений по этому поводу.
В подавляющем большинстве реализаций пароли являются единственной мерой безопасности, защищающей вашу учетную запись.
Другие механизмы, которые вы упомянули: капча или время блокировки при повторных попытках ввода пароля, лишь добавляют небольшое препятствие каналу, который вы используете для входа в систему. Они не имеют никакого значения, если база паролей была украдена и перебита в автономном режиме.
Второй фактор аутентификации повышает безопасность канала аутентификации, но он не должен заменять основные средства аутентификации, будь то полностью или частично.
Эти дополнительные меры часто плохо реализуются и их легко преодолеть при целенаправленных атаках.
Простым тестом для этого является то, что вам нужно сделать, чтобы заменить / заново инициализировать 2-й фактор. Если это личное посещение отделения банка, где вы получаете новый печатный планшет или токен безопасности, вы можете предположить, что это безопасно, если это вызов в колл-центр и предоставление вашего адреса и девичьей фамилии вашей матери, после чего 2-й фактор отключен для вас, чтобы войти только с паролем, то это бесполезно.
Пользователи также не принимают меры предосторожности, чтобы отделить второй фактор от основных средств аутентификации. Например, используйте браузер + сохраненный пароль + генератор одноразового кода на одном мобильном устройстве.