是的当然!

是的当然!

这个问题仅与在线密码有关。(与加密等无关)

我知道暴力破解短密码或在彩虹表中查找哈希值很容易。但考虑到 Google、Facebook 或网上银行网站如何要求您填写验证码/在几次错误尝试后锁定您/要求双重身份验证,为在线帐户设置强密码真的有意义吗?

我并不是说使用像 kitty123 等垃圾。但即使是两个 Diceware 单词对我来说也已经足够了。

我这里遗漏了什么吗?

答案1

是的当然!

毫无疑问。

在绝大多数实施中,密码是保护您帐户的唯一安全措施。

您提到的其他机制:验证码或密码重试锁定时间,只会对您用于登录的渠道造成一点小障碍。如果密码数据库被盗并被离线暴力破解,它们就毫无意义了。

第二因素身份验证增加了身份验证渠道的安全性,但它不应全部或部分取代主要的身份验证手段。

这些附加措施通常执行不力,而且在有针对性的攻击中很容易被克服。

一个简单的测试就是你需要做什么来替换/重新启动第二个因素。如果你亲自去银行分行领取新的打印垫或安全令牌,那么你可能会认为它是安全的,如果你打电话给呼叫中心并提供你的地址和你母亲的娘家姓,然后第二个因素被禁用,你只能用密码登录,那么它就没用了。

用户也没有采取预防措施将第二因素与主要身份验证方式分开。例如,在单个移动设备上使用浏览器 + 存储的密码 + 一次性代码生成器。

相关内容