To pytanie dotyczy wyłącznie haseł online. (bez szyfrowania itp.)

Wiem, że łatwo jest brutalnie wymusić krótkie hasło lub wyszukać skrót w tęczowej tabeli. Ale biorąc pod uwagę, jak Google, Facebook lub witryny bankowości online zmuszają Cię do wypełniania captchas / blokowania cię po kilku złych próbach / wymagają uwierzytelnienia dwuskładnikowego, czy naprawdę warto mieć silne hasła do kont internetowych?

Nie mam na myśli używania śmieci takich jak kitten123 itd. Ale nawet dwa słowa Diceware wydają mi się dużo.

Czy coś mi umyka?

Tak oczywiście!

Nie ma co do tego wątpliwości.

W zdecydowanej większości wdrożeń hasła są jedynym środkiem bezpieczeństwa, który chroni twoje konto.

Inne wymienione przez ciebie mechanizmy: captcha lub czas blokady przy ponownych próbach podania hasła, stanowią tylko niewielką przeszkodę dla kanału, którego używasz do logowania. Nie mają znaczenia, jeśli baza danych haseł została skradziona i brutalnie wymuszona w trybie offline.

Uwierzytelnianie drugiego czynnika zwiększa bezpieczeństwo kanału uwierzytelniającego, ale nie powinno zastępować głównych sposobów uwierzytelniania, zarówno w całości, jak i częściowo.

Te dodatkowe środki są często źle wdrażane i łatwe do pokonania w atakach ukierunkowanych.

Łatwy test na to, co musisz zrobić, aby wymienić / ponownie zainicjować 2. czynnik oznacza. Jeśli jest to osobista wizyta w oddziale banku, w którym otrzymujesz nową drukowaną podkładkę lub token zabezpieczający, możesz założyć, że jest to bezpieczne, jeśli jest to połączenie z centrum obsługi klienta i podanie adresu oraz nazwiska panieńskiego matki, po którym 2. czynnik jest wyłączony, aby zalogować się tylko hasłem, a następnie jest bezużyteczny.

Użytkownicy nie podejmują również środków ostrożności, aby oddzielić drugi czynnik od głównych sposobów uwierzytelnienia. Na przykład użyj przeglądarki + zapisane hasło + generator kodu jednorazowego na jednym urządzeniu mobilnym.