这个问题仅与在线密码有关。(与加密等无关)
我知道暴力破解短密码或在彩虹表中查找哈希值很容易。但考虑到 Google、Facebook 或网上银行网站如何要求您填写验证码/在几次错误尝试后锁定您/要求双重身份验证,为在线帐户设置强密码真的有意义吗?
我并不是说使用像 kitty123 等垃圾。但即使是两个 Diceware 单词对我来说也已经足够了。
我这里遗漏了什么吗?
答案1
是的当然!
毫无疑问。
在绝大多数实施中,密码是保护您帐户的唯一安全措施。
您提到的其他机制:验证码或密码重试锁定时间,只会对您用于登录的渠道造成一点小障碍。如果密码数据库被盗并被离线暴力破解,它们就毫无意义了。
第二因素身份验证增加了身份验证渠道的安全性,但它不应全部或部分取代主要的身份验证手段。
这些附加措施通常执行不力,而且在有针对性的攻击中很容易被克服。
一个简单的测试就是你需要做什么来替换/重新启动第二个因素。如果你亲自去银行分行领取新的打印垫或安全令牌,那么你可能会认为它是安全的,如果你打电话给呼叫中心并提供你的地址和你母亲的娘家姓,然后第二个因素被禁用,你只能用密码登录,那么它就没用了。
用户也没有采取预防措施将第二因素与主要身份验证方式分开。例如,在单个移动设备上使用浏览器 + 存储的密码 + 一次性代码生成器。