web-dev-qa-db-ja.com

二要素認証は長いパスワードの必要性を減らしますか?

最近、多くのウェブアプリで2要素認証を有効にしました。ほとんどがGoogle認証システムを使用しています。これは、各サイトでの強力なパスワードの重要性が低下することを意味しますか?セキュリティがあまり損なわれない場合は、モバイルデバイスで入力しやすいパスワードを使用したいと思います。

編集

パスワードを短くしたり、簡略化したりするための私の特別な必要性は、タブレット/電話で句読点を入力するのにかかる時間についてです-3タップ(、!、)、および大文字の2。これらの答えから、小文字と数字だけで構成された、おそらく文字が繰り返される長いパスワードを使用する方が良い方法だと思います。 (パスワードの最後の「kkkkk」を妨害すると、入力が非常に速くなりますが、かなり強力になります。)

[注:このサイトの宣伝文句は「情報セキュリティの専門家」向けだと言っているので、私は最初にこれをスーパーユーザーに投稿しました]

passwordsauthenticationgooglephone
16
Steve Bennett

これは非常に主観的な概念であり、これに対する答えは主に意見に基づくものです。答えは基本的には次のとおりです。

拡大するために:

  • 2FAはシステムに侵入するのにかかる時間を大幅に増やします。そのため、全体として、侵入の難しさがまだ増している限り、任意のパスワードの品質を下げることができるという見方もあります。
  • 別の、IMOと同等に有効な見方は、2FAはログインをそれほど難しくも複雑にもしないので、パスワードの使用に慣れている場合にパスワードの品質を低下させると、セキュリティが低下するので愚かです。 作成する必要はありません
  • ほとんどの2FAシステムは、2FAトークンジェネレーター(電話、キーフォブなど)が機能していない場合に使用するバックアップシステムが必要になることに注意してください。たとえば、Googleは別の電話にテキストを送信したり、使い捨てのバックアップコードを使用したりできます。その場合、2FAを使用するためにhaveを指定しないことを考えると、適切なパスワードを持つことは、保護の有用な追加要素です。

全体的に、2FAやシステム全体のその他の脆弱性から保護するために、引き続き適切なパスワードを使用する必要があると思います。

8
Owen

ほとんどの場合、2要素認証は、車の安全ベルトが効率的なブレーキの必要性を減らすのと同じように、強力なパスワードの必要性を減らします。車を運転するとき、特定の旅行中に死亡する確率は、事故が発生する確率に、事故が発生したときに死亡する確率を掛けたものです。良いブレーキは最初の確率を減らし、安全ベルトは2番目の確率を減らします。特定の目標死亡率について、安全ベルトを強化すると(たとえば、締めないことと比較して、安全ベルトを締めることによって)、効果の低いブレーキングを許容できます。

認証要素間の関係はやや似ています。 1つの要因の失敗が攻撃者へのアクセスを許可しないように、2FAを使用します。したがって、パスワードが1つの要素である場合、パスワードが脆弱であることが判明した場合、2番目の要素によって肌を救うことができます。

極端な例は スマートカード です:ほとんどの銀行のカードは4桁のPINコードを使用しますが、パスワードの場合、これは残念なことに弱いですが、カードは3つの悪いPINコードの後に​​自分自身をロックし、そのような不十分なパスワードを許容します。ここでの「第2の要素」はカードの物理的な所有権です。攻撃者は試すことができませんPINコード3-bad-codesルールの範囲内で、カードを手に持ち、カードと話すことなく。

最終的に、リスク分析に基づいて、選択はあなた次第です。個人的に、私はシートベルトを締めますおよびブレーキを良い状態に保ちます。つまり、2FAを使用する場合、これはリスクレベルを変更せずに貧弱なパスワードを使用できるようにするのではなく、はるかに低いリスクレベルで適切なパスワードを補完するためです。

20
Thomas Pornin

それはあなたが心配している攻撃に依存しますが、実際にはそうではありません。 2番目の要素はハッシュをチェックするコンポーネントではないため、パスワードハッシュに対するオフライン攻撃は安全ではなくなります。一方、オンライン攻撃は効果的に防止できますが、アカウントをロックするまでの試行回数を単純に制限することで、オンライン攻撃を効果的に防止できます。

したがって、オンラインの方法では推測が許可されないため、弱いパスワードに対しても有効な唯一の攻撃はオフライン攻撃であり、オフライン攻撃の場合、2番目の要素はパスワードの侵害を防ぐために何もしません。

さらに恐ろしいことに、オフライン攻撃のためにハッシュテーブルが危険にさらされている場合、同じテーブルからキーが漏洩する可能性があるため、HOTPおよびTOTPデバイスも危険にさらされる可能性があります。安全なパスワードを使用している場合でも、ハッシュの価値は攻撃者に限定されるため、ある程度の保護が提供されますが、脆弱なパスワードは急速に破壊され、攻撃者がアカウントにアクセスする可能性があります。

2
AJ Henderson