Är inte 2FA/MFA onödigt egentligen?

Förutsatt att man har ett starkt och unikt lösenord, samt att det lagras saltat och hashat, så bör det ju vara omöjligt (ja, OMÖJLIGT) för någon att få åtkomst till ett konto (på någon tjänst, vilken som helst).

Och om det är omöjligt för någon som inte känner till lösenordet att få åtkomst, så är ju multifaktorautentisering näst intill meningslöst. Är något omöjligt så är det omöjligt, då behövs inget mer skydd. Det enda det kan hjälpa mot är ifall någon känner till lösenordet - men som sagt, om det är starkt, unikt, saltat och hashat så är enda möjligheten för någon att få åtkomst till kontot att de kan ta reda på lösenordet på något sätt.

Såvida jag inte skrivit ner det i klartext någonstans, eller talar om det, så känns det extremt osannolikt att någon skulle komma över det. Det enda skulle isåfall vara om någon lyckas dekryptera min lösenordshanterare, vilket också känns extremt osannolikt.

Så varför är alla så kåta på att införa multifaktorsautentisering nuförtiden? Lagrar de lösenord utan salt, eller till och med utan att hasha dem? Eller anser de att kunderna är för korkade för att använda starka och unika lösenord? Eller ... ja, varför?

Du har inte använt en dator fler än sisådär 25-30 gånger va?

Lösenord är något som du kan
MFA är något du har
Biometri är något du är

Bra ramsa. MFA tar även bort behovet av lösenord med komplexitet.

Lösenord har inte visat sig tillräckligt säkert. Så man har lagt till ett extra lager av säkerhet.

Lösenord kan hamna i fel händer. Det extra lagret av säkerhet gör att man inte kan få åtkomst till ett konto även om lösenordet har hamnat i fel händer.

Det är grundläggande kunskap. Det borde du veta som flänger runt med dagisorden ”salt” och ”hash” du uppenbarligen precis lärt dig

MFA behövs,, inte för att lösenorden i sig tvunget är dåliga utan för att få en extra koll.
Många hack på sistonde har man kommit in i systemen utan att kunna lösenorden utan man fått systemet att tro att man fyllt i rätt lösenord, med MFA har man ytterligare ett steg man behöver knäcka.

Den säkerhetsbrist som Akira använder sig av i cisco, där dem hackat flertalet kända ställen de senaste veckorna kan förhindras med att ha MFA igång.

Vet inte hur du definierar starkt men det finns både aktuella och historiska attacker mot lösenordshanterare (eller keyloggers, titta-över-axeln och andra sätt att komma över ditt lösenord), så säg att en angripare kommer över ditt starka och unika lösenord är det väl bra att det finns ett extra säkerhetslager som inte låter angriparen logga in i tjänste i fråga med ditt lösenord?

Vad händer om du har virus på datorn?

Om någon har smygit in en keylogger mellan tangentbordet och datorn?

Någon som har översikt över tangentbordet eller möjlighet att spela in ljudet från tangenttryckningarna?

Eller en välgjord phishing sida?

Dessa och lägg till Tempest-attacker eller att man i ett trött ögonblick matar in lösenordet på en scamsida. Har man det 32 tecken långt random och bara i en lösenordshanterare är risken reducerad till hål i lösenordshanteraren vilket också funnits i bl.a. Lastpass som inte verifierade domännamn på inloggningssidor på korrekt sätt.

Kort och gott MFA är verkligen tillrådigt.

MFA är kanske inte heller primärt till för att hjälpa de med god lösenordshygien. Ett problem är att - och nu killgissar jag på siffrorna lite - 97% av alla användare inte har god lösenordshygien.

Känns riskabelt enligt mig åtminstone, att om man har en lösenordshanterare (med syfte skapa starka unika lösenord såklart) men inte har 2FA igång på det.
Om du lyckas bli phishad på det lösenordet ryker ju alla lösenord.
Använder du inte ens lösenordshanterare skulle jag gissa antingen du använder samma lösenord till flera sidor eller möjligtvis inte alls såpass starkt lösenord. Om du verkligen inte memorerat något helt random och långt lösenord.
För även om du väljer kombinationer av ord, siffror osv bör ju vara mindre säkert än något fullständigt random som lösenordshanterare har.
Kanske något overkill men teknologin utvecklas och ditt hashade lösenord kommer för varje år ta snabbare att knäckas.