Questo thread enumera i rischi connessi all'uso di un metodo d'autenticazione a due fattori sul proprio account, (sia metodo dell'SMS/email che di Google Auth):
Il metodo migliore per tenere in sicurezza i propri account, è l'utilizzo di una password che dovete imparare a memoria. La mente umana è l'hard disk più sicuro per conservare una password.
Questa password dev'essere lunga circa 15 caratteri, deve comprendere una lettera maiuscola, almeno un numero e un carattere speciale (come ad esempio un punto).
Ma soprattutto, non deve essere riconducibile a qualcosa che si può associare a voi (come un vostro hobby, o un vostro interesse), perché ricollegare la propria pass a queste cose, apre l'opportunità per costruire una wordlist. Le wordlist non piacciono neanche a me, odio i bruteforce. Possono richiedere 5 secondi come 5 millenni, tuttavia qualcuno ci prova e (seppur di rado) il bruteforce ogni tanto colpisce.
- Rimanere bloccati fuori in seguito allo smarrimento della password di Google Auth;
- Hai perso il telefono (o la scheda SIM) e non hai più un host che riceve l'OTP;
- Hai perso la password dell'e-mail utilizzata per ricevere gli OTP;
- Vuoi fare ricorso allo staff del sito per accedere ugualmente all'account bloccato, ma il personale è scadente (filosofia=basta che mi pagano), e ti dicono "Non ci possiamo fare niente";
- Se la casella email/o il telefono vengono infettati da un malware, l'attaccante ottiene full access a questi codici, usandoli contro l'end-user. Se la password della casella email coincide con altre password, si può usare inoltre la tecnica del
pass spray
per prendere più piccioni in una fava
Il metodo migliore per tenere in sicurezza i propri account, è l'utilizzo di una password che dovete imparare a memoria. La mente umana è l'hard disk più sicuro per conservare una password.
Questa password dev'essere lunga circa 15 caratteri, deve comprendere una lettera maiuscola, almeno un numero e un carattere speciale (come ad esempio un punto).
Ma soprattutto, non deve essere riconducibile a qualcosa che si può associare a voi (come un vostro hobby, o un vostro interesse), perché ricollegare la propria pass a queste cose, apre l'opportunità per costruire una wordlist. Le wordlist non piacciono neanche a me, odio i bruteforce. Possono richiedere 5 secondi come 5 millenni, tuttavia qualcuno ci prova e (seppur di rado) il bruteforce ogni tanto colpisce.