Als de 2FA/MFA shared secrets óók op straat liggen na datzelfde datalek van een server met een account van jou, ben je ook de Sjaak (de server kan géén gebruik maken van éénweg afgeleiden van shared secrets voor SMS, TOTP en Number Matching - zoals wel kan, en "best practice" of zelfs verplicht is, bij wachtwoorden). Ja, als. Bovendien liggen de meeste (wellicht geen van allen, maar zie punt 3 hieronder) sterke wachtwoorden niet op straat na een datalek - mits de eigenaar van die server zich aan de regels (GDPR/AVG) heeft gehouden. De kans dat zelfs een MD5 hash van een sterk wachtwoord "gereversed" kan worden, is verwaarloosbaar klein Ja, als. En mocht een aanvaller, op een gehackte server, jouw "plain text" wachtwoord hebben gesniffd op het moment dat jij dat invoerde: als jij dat specifieke wachtwoord (net als een 2FA/MFA shared secret) uitsluitend gebruikt voor een account op die server, is het op straat belanden van dat wachtwoord, t.g.v. de toegang van een aanvaller tot die server en de ...