Czy istnieje powód, aby wzmocnić hasła do mojego konta internetowego?

1

To pytanie dotyczy wyłącznie haseł online. (bez szyfrowania itp.)

Wiem, że łatwo jest brutalnie wymusić krótkie hasło lub wyszukać skrót w tęczowej tabeli. Ale biorąc pod uwagę, jak Google, Facebook lub witryny bankowości online zmuszają Cię do wypełniania captchas / blokowania cię po kilku złych próbach / wymagają uwierzytelnienia dwuskładnikowego, czy naprawdę warto mieć silne hasła do kont internetowych?

Nie mam na myśli używania śmieci takich jak kitten123 itd. Ale nawet dwa słowa Diceware wydają mi się dużo.

Czy coś mi umyka?

BP
źródło
1
Im bardziej czuły jest login, tym silniejsze jest moje hasło, ale to tylko moja logika. Uzyskiwanie dostępu do bardziej krytycznych kont nigdy nie boli.
Moab
Tak też o tym myślę (a zatem mają stosunkowo silne PW), ale nie jestem pewien, czy jest to naprawdę konieczne, jeśli firmy mają dobre środki bezpieczeństwa. (Głównie Robią, a te, które nie nie są „ważne” - to znaczy, nie ma niewiele do stracenia, jeśli konto zostanie włamał się jak przypadkowe forum, itp.)
BP

Odpowiedzi:

3

Tak oczywiście!

Nie ma co do tego wątpliwości.

W zdecydowanej większości wdrożeń hasła są jedynym środkiem bezpieczeństwa, który chroni twoje konto.

Inne wymienione przez ciebie mechanizmy: captcha lub czas blokady przy ponownych próbach podania hasła, stanowią tylko niewielką przeszkodę dla kanału, którego używasz do logowania. Nie mają znaczenia, jeśli baza danych haseł została skradziona i brutalnie wymuszona w trybie offline.

Uwierzytelnianie drugiego czynnika zwiększa bezpieczeństwo kanału uwierzytelniającego, ale nie powinno zastępować głównych sposobów uwierzytelniania, zarówno w całości, jak i częściowo.

Te dodatkowe środki są często źle wdrażane i łatwe do pokonania w atakach ukierunkowanych.

Łatwy test na to, co musisz zrobić, aby wymienić / ponownie zainicjować 2. czynnik oznacza. Jeśli jest to osobista wizyta w oddziale banku, w którym otrzymujesz nową drukowaną podkładkę lub token zabezpieczający, możesz założyć, że jest to bezpieczne, jeśli jest to połączenie z centrum obsługi klienta i podanie adresu oraz nazwiska panieńskiego matki, po którym 2. czynnik jest wyłączony, aby zalogować się tylko hasłem, a następnie jest bezużyteczny.

Użytkownicy nie podejmują również środków ostrożności, aby oddzielić drugi czynnik od głównych sposobów uwierzytelnienia. Na przykład użyj przeglądarki + zapisane hasło + generator kodu jednorazowego na jednym urządzeniu mobilnym.

techraf
źródło
1
Dziękuję za odpowiedź! Nie zastanawiałem się nad możliwością kradzieży hasła db. Ale nawet wtedy prawdopodobieństwo przejęcia konta przez przypadkowe konto wydaje mi się mało prawdopodobne: (1) hakerzy mają ograniczony czas (takie ataki są szybko publikowane), (2) istnieje wiele kont do bruteforce, co czyni je mało prawdopodobnym trafiają na konkretne konto (3), nawet brutalizacja nie jest banalna, ponieważ hasło to „poprawny koń”, a nie „małpa”.
BP
Po zresetowaniu uwierzytelniania dwuskładnikowego. Załóżmy, że haker zostanie zablokowany i zadzwoni ze wszystkimi informacjami. Bum, kolejne 10 prób. Robi to jeszcze kilka razy, w sumie 50 domysłów. To wciąż praktycznie nic, nawet w przypadku bardzo słabego, 24-bitowego hasła. I zostanie zablokowany na stałe znacznie szybciej. (Hmmm, wydaje się to dobrym sposobem, jeśli chcesz ceglić czyjeś konto ...)
BP