したがって、私はでパスワードマネージャーを使用して、ユーザー名/パスワードを持っている各サイトごとに(強力な)一意のパスワードを生成します。
それを許可するものについては、TOTP(時間ベースのワンタイムパスワード)2TFも有効にします。
これは私に考えさせられました。
理論的には、誰かが私のパスワードを手に入れる唯一の方法(MTM攻撃を除く)は、私が使用しているサイトのパスワードテーブルが漏洩することです。この時点で、TOTPシードも漏洩します。
では、TOTPは何を防御するのでしょうか? MTM、キーロガー、肩越しのビューアに対する保護として意図されていますか?
2要素認証では、サイト違反からユーザーを保護することはできません。誰かがサイトのパスワードデータベースにアクセスした場合、そのサイトの機密データにもアクセスできる可能性があります。
2要素認証は、誰かがパスワードを取得するのを防ぎます。これを不可能と見なす場合、2FAは不要です。ほとんどのTOTPシステムでは、関連するキーがインストールされたデバイスと、ログインするためのパスワードを所有している必要があります。多くの場合、このデバイスは、サービスへのアクセスに使用されるデバイス(トークンジェネレーターのスマートフォンとデバイスからのログインまたはパスワードマネージャーが危険にさらされた場合に備えて、ある程度の保護(セッションは引き続きハイジャックされる可能性があります)も提供するサービス用ラップトップ.
自分にとっての主なリスクは、おそらくパスワードマネージャです。これらには脆弱性が発生します。これは、パスワードがオンラインで保存されている場合、2倍重要になります。これは、ユーザーが制御していないマシンから見えるためです。