最近、多くのウェブアプリで2要素認証を有効にしました。ほとんどがGoogle認証システムを使用しています。これは、各サイトでの強力なパスワードの重要性が低下することを意味しますか?セキュリティがあまり損なわれない場合は、モバイルデバイスで入力しやすいパスワードを使用したいと思います。
編集
パスワードを短くしたり、簡略化したりするための私の特別な必要性は、タブレット/電話で句読点を入力するのにかかる時間についてです-3タップ(、!、)、および大文字の2。これらの答えから、小文字と数字だけで構成された、おそらく文字が繰り返される長いパスワードを使用する方が良い方法だと思います。 (パスワードの最後の「kkkkk」を妨害すると、入力が非常に速くなりますが、かなり強力になります。)
[注:このサイトの宣伝文句は「情報セキュリティの専門家」向けだと言っているので、私は最初にこれをスーパーユーザーに投稿しました]
これは非常に主観的な概念であり、これに対する答えは主に意見に基づくものです。答えは基本的には次のとおりです。
拡大するために:
全体的に、2FAやシステム全体のその他の脆弱性から保護するために、引き続き適切なパスワードを使用する必要があると思います。
ほとんどの場合、2要素認証は、車の安全ベルトが効率的なブレーキの必要性を減らすのと同じように、強力なパスワードの必要性を減らします。車を運転するとき、特定の旅行中に死亡する確率は、事故が発生する確率に、事故が発生したときに死亡する確率を掛けたものです。良いブレーキは最初の確率を減らし、安全ベルトは2番目の確率を減らします。特定の目標死亡率について、安全ベルトを強化すると(たとえば、締めないことと比較して、安全ベルトを締めることによって)、効果の低いブレーキングを許容できます。
認証要素間の関係はやや似ています。 1つの要因の失敗が攻撃者へのアクセスを許可しないように、2FAを使用します。したがって、パスワードが1つの要素である場合、パスワードが脆弱であることが判明した場合、2番目の要素によって肌を救うことができます。
極端な例は スマートカード です:ほとんどの銀行のカードは4桁のPINコードを使用しますが、パスワードの場合、これは残念なことに弱いですが、カードは3つの悪いPINコードの後に自分自身をロックし、そのような不十分なパスワードを許容します。ここでの「第2の要素」はカードの物理的な所有権です。攻撃者は試すことができませんPINコード3-bad-codesルールの範囲内で、カードを手に持ち、カードと話すことなく。
最終的に、リスク分析に基づいて、選択はあなた次第です。個人的に、私はシートベルトを締めますおよびブレーキを良い状態に保ちます。つまり、2FAを使用する場合、これはリスクレベルを変更せずに貧弱なパスワードを使用できるようにするのではなく、はるかに低いリスクレベルで適切なパスワードを補完するためです。
それはあなたが心配している攻撃に依存しますが、実際にはそうではありません。 2番目の要素はハッシュをチェックするコンポーネントではないため、パスワードハッシュに対するオフライン攻撃は安全ではなくなります。一方、オンライン攻撃は効果的に防止できますが、アカウントをロックするまでの試行回数を単純に制限することで、オンライン攻撃を効果的に防止できます。
したがって、オンラインの方法では推測が許可されないため、弱いパスワードに対しても有効な唯一の攻撃はオフライン攻撃であり、オフライン攻撃の場合、2番目の要素はパスワードの侵害を防ぐために何もしません。
さらに恐ろしいことに、オフライン攻撃のためにハッシュテーブルが危険にさらされている場合、同じテーブルからキーが漏洩する可能性があるため、HOTPおよびTOTPデバイスも危険にさらされる可能性があります。安全なパスワードを使用している場合でも、ハッシュの価値は攻撃者に限定されるため、ある程度の保護が提供されますが、脆弱なパスワードは急速に破壊され、攻撃者がアカウントにアクセスする可能性があります。