当我们有2FA时，密码旋转的意义是什么？

Question

双因素身份验证比密码更难破解，令牌生成器也越来越强。为什么我们担心密码的质量和轮转，而我们只需要使用2FA并完成它呢？在防止被盗账户方面，这对于电子游戏行业来说已经足够有效了。为什么对工作场所来说还不够好？

Answer 1

双因素身份验证比密码更难破解，令牌生成器也越来越强。

这完全取决于组织所允许的2FA方法。

如果您的组织允许SMS用于2FA，那么就会有详细的记录在案的漏洞，例如访问服务提供商，以及从本质上窃取接收OTP到：https://www.youtube.com/watch?v=lc7scxvKQOo (2:29)的电话号码。

和/或直接攻击协议，如SS7利用：https://arstechnica.co.uk/security/2017/05/thieves-drain-2fa-protected-bank-accounts-by-abusing-ss7-routing-protocol/

然后是拦截/钓鱼攻击，可以绕过2FA方法，详见：攻击者绕过2FA.如何防守？

此时唯一的“拯救恩典”将是使用FIDO U2F，但是，在没有AFAIK支持的情况下，https://fidoalliance.org/在记录上有一个妥协(如果有人知道FIDO U2F的规避，请评论)。

为什么我们担心密码的质量和轮转，而我们只需要使用2FA并完成它呢？

密码的复杂性仍然很重要，我在这里写了这个(使用一些餐巾纸的数学) https://blog.oneiroi.co.uk/passwords/security/something-you-know/passphrase-or-complex-passwords/，不应该被折现为“不需要”。

如果您将密码设置为12345 (2016年最常见的密码之一)，那么对手/黑客所需要应对的保护实际上就少了一层保护(因为在这一点上回避是微不足道的)。

在这种情况下(和大多数情况下)，安全性需要在层中应用，没有一层比另一层更重要或更不重要(您希望使对手/黑客尽可能困难)。

在我看来，密码轮转是一种“停止间隙”措施，通常是在组织会或不能在2FA或MFA中应用额外层的情况下。

当时，许多标准都是在俗话说的炒作列车上跳过的，现在要求如此。

有研究和文章表明，由于用户开发不良行为(人类的问题)，经常更改密码实际上会破坏帐户的安全性。(如https://www.wired.com/2016/03/want-safer-passwords-dont-change-often/)。

AFAICT标准目前还没有考虑到这些因素。

假设您的组织服务于客户基础，您可能有需要在您的组织和客户端之间的业务协议中进行密码转换的客户端。

当然，这是一个皮塔，但它真的是一个十字军，你觉得你可以在不损害你工作的组织，并可能失去一些客户的过程中？

事实上，如果没有客户付钱给组织，那么你很可能在一天结束时就没有工作了。