Regelmatig raden beveiligingsexperts aan om bij online accounts twee-factor authenticatie in te stellen, waarbij er naast het wachtwoord een extra code moet worden ingevoerd, maar volgens één expert is het beter om alleen een sterk wachtwoord in combinatie met een wachtwoordmanager te gebruiken.
Een voorbeeld van twee-factor authenticatie is bijvoorbeeld een code die via sms wordt verstuurd en tijdens het inloggen, naast het wachtwoord, moet worden ingevoerd. Als het wachtwoord van de gebruiker is gestolen kan de aanvaller hier niet mee inloggen, tenzij hij ook de telefoon van de gebruiker in zijn bezit heeft. Toch is het volgens beveiligingsexpert en onderzoeker Egor Homakov geen wondermiddel en zijn gebruikers beter af met alleen een sterk wachtwoord.
Het invoeren van een tweede code tijdens het inloggen is volgens Homakov namelijk tijdverspilling. Daarnaast zijn de meeste codes beperkt tot zes getallen, waardoor de tweede factor te brute forcen is. Ook stopt de maatregel malware en virussen niet, zoals Bruce Schneier een aantal jaren geleden al liet weten. Verder stelt de expert dat er geen aannemelijk aanvalsscenario is waarbij een eenvoudig wachtwoord met twee-factor authenticatie beter is dan alleen een sterk wachtwoord. Een aanvaller die de computer van de gebruiker met malware heeft geïnfecteerd kan bijvoorbeeld een aantal dagen wachten totdat de gebruiker zijn tweede code ergens invoert.
In het geval een aanvaller toegang tot de mailbox van een gebruiker heeft kan hij vervolgens het wachtwoord resetten. Volgens Homakov is het dan ook verstandiger om een wachtwoordmanager te gebruiken die sterke wachtwoorden genereert, dan twee-factor authenticatie. Daarnaast zouden gebruikers niet aan websites moeten vragen of ze twee-factor authenticatie gaan ondersteunen, maar dat er een optie wordt toegevoegd die het mogelijk maakt om de "wachtwoord vergeten" optie uit te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.