Door Anoniem: Maar als wachtwoorden op straat liggen door een datalek ben je alsnog de sjaak. Hoe veilig ze ook zijn. Dank voor jouw eenvoudig te pareren drogredenen; ik grijp de geboden gelegenheid graag aan. 1) Risico datalek Als de 2FA/MFA shared secrets óók op straat liggen na datzelfde datalek van een server met een account van jou, ben je ook de Sjaak (de server kan géén gebruik maken van éénweg afgeleiden van shared secrets voor SMS, TOTP en Number Matching - zoals wel kan, en "best practice" of zelfs verplicht is, bij wachtwoorden). Toegegeven, dat geldt uitsluitend zolang het lek op de server niet gedicht is en de inloggegevens nog niet zijn gereset (een nieuw drama, want hoe weet de servereigenaar wie de échte accounteigenaren waren). 2) Sterke wachtwoorden Bovendien liggen de meeste (wellicht geen van allen, maar zie punt 3 hieronder) sterke wachtwoorden niet op straat na een datalek - mits de eigenaar van die server zich aan de regels (GDPR/AVG) heeft gehouden. De kans dat zelfs een MD5 ...