(個人的な)UXの観点から見ると、私のオンラインバンキングが使用する4つの数字は、スマートフォンを見てから入力するまで頭の中で押さえているという点でスイートスポットのようです。しかし、Googleのコードは6桁で、my.gov.au(納税申告書などの宿泊用のくだらないウェブサイト)は、8つの文字と数字のようなばかげたものです。
余分な長さは本当にセキュリティの重要な向上ですか?もしそうなら、銀行は不足していますか?
これは、サイト、保存されている情報のレベル、およびレコードのTTL(存続時間))に本当に依存します。Googleは、人々のさまざまなアカウントを処理する傾向があります:gmail、YouTube 、ブロガー、Androidアカウント、検索履歴、連絡先、カレンダーなど、スピアフィッシャーが望むものすべて。同様に、彼らのアプリ Google Authenticator は、キーを頻繁に変更します。
あなたの税務サイトは、セキュリティの幻想に向かっている可能性が高いですが、スマートフォンでアプリを使用していて、メールがスマートフォンとスマートフォンに届いたとするなど、2つの要素が侵害された場合、正当な理由がある可能性があります。盗まれた場合、パスフレーズがどれだけ長いかは問題ではありません。ただし、TTL=が長い場合、特定のアカウントを強引に誰かにブルートフォースするためのDDoSマスクをブロックするサイトが装備されていない場合は、長いキーを使用することをお勧めします。長さ。クレジットシステムが州のそれと似ている場合、彼らはあなたの身元を保護しようとしています。
TTLが短い場合、短い数値でも問題ありません。30秒間で6桁のコードを推測できる場合は、偶発的に 衝突 の可能性が低くなります。 =。ほとんどのWebサーバーは、商業的でない限り、数文字より長いパスワードをブルートフォースで強制するために必要な1秒あたりの接続数を許可していません。商業サーバーは、同じデータベースへの同時接続を許可する傾向があります。
理想的には、アプリケーションフレームワークは複数の侵入の試みに気づき、すぐにアカウントをロックします。そのため、長すぎず、短すぎないUXに戻ります。