強力な一意のパスワードとTOTP 2FA

Question

したがって、私はでパスワードマネージャーを使用して、ユーザー名/パスワードを持っている各サイトごとに（強力な）一意のパスワードを生成します。

それを許可するものについては、TOTP（時間ベースのワンタイムパスワード）2TFも有効にします。

これは私に考えさせられました。

理論的には、誰かが私のパスワードを手に入れる唯一の方法（MTM攻撃を除く）は、私が使用しているサイトのパスワードテーブルが漏洩することです。この時点で、TOTPシードも漏洩します。

では、TOTPは何を防御するのでしょうか？ MTM、キーロガー、肩越しのビューアに対する保護として意図されていますか？

Hector · Answer

2要素認証では、サイト違反からユーザーを保護することはできません。誰かがサイトのパスワードデータベースにアクセスした場合、そのサイトの機密データにもアクセスできる可能性があります。

2要素認証は、誰かがパスワードを取得するのを防ぎます。これを不可能と見なす場合、2FAは不要です。ほとんどのTOTPシステムでは、関連するキーがインストールされたデバイスと、ログインするためのパスワードを所有している必要があります。多くの場合、このデバイスは、サービスへのアクセスに使用されるデバイス（トークンジェネレーターのスマートフォンとデバイスからのログインまたはパスワードマネージャーが危険にさらされた場合に備えて、ある程度の保護（セッションは引き続きハイジャックされる可能性があります）も提供するサービス用ラップトップ.

自分にとっての主なリスクは、おそらくパスワードマネージャです。これらには脆弱性が発生します。これは、パスワードがオンラインで保存されている場合、2倍重要になります。これは、ユーザーが制御していないマシンから見えるためです。