Darum verwendet man eher
Zwei Faktor Authentifizierung als Passwörter oder wenigstens 1x Passwörter in kritischen Bereichen. Dabei muss der zweite Faktor nicht mal besonders sicher sein. Besonders langsam reicht schon.
Ein zufälliges Passwort mit 20 Stellen gilt auch heute noch als sehr sicher, aber wenn man es mit einem zweiten Faktor kombiniert, dessen Verarbeitung immer ein paar Sekunden braucht, wird es schon allein durch die zeitliche Verzögerung sehr sicher.
Mal ein kleines Rechenbeispiel: Ein Passwort mit 6 Zeichen ist heute eigentlich schneller geknackt, als man es eintippen könnte. Es hat bei Zahlen und Buchstaben und den gängigsten Sonderzeichen gerade mal 106
6 Möglichkeiten. Bei einem Brute Force Angriff ist man statistisch nach 50% der Möglichkeiten am Ziel, also nach 709 Milliarden Versuchen. So etwas schafft ein normaler Computer in etwa 1-2 Sekunden. Wird die Abfrage durch den zweiten Faktor auch nur auf 1 Sekunde pro Passwort verzögert, wäre ein Angreifer erst nach 22490 Jahren am Ziel. Nur die wenigsten wollen so lange warten
Heute sind aber Passwörter mit 12 Zeichen eher üblich, also 106
12 was bedeutet, dass man etwa nach 1.006.098.235.917.775.164.704.768 Versuchen am Ziel ist.
Nehmen wir also die Rechenleistung von Vorher, die für die 6 Zeichen eine Sekunde gebraucht hat, so bräuchte der gleiche Rechner schon 709 Milliarden Sekunden und wenn wir hier jetzt durch einen weiteren Faktor die Sache nur wieder auf eine Abfrage pro Sekunde reduzieren würden, wäre ein Angreifer erst nach knapp 32 Trilliarden Jahren am Ziel (also nach 3,19*10
16 Jahren). Wenn der zweite Faktor aber nicht nur Verzögert, sondern tatsächlich weitere Sicherheit hinzufügt, kann man sich einfach entspannen.
Da sich keiner solche Passwörter in Massen merken kann, verwendet man Passwortmanager und wenn man das macht, gibt es keine Grund bei 12 Zeichen zu bleiben. Ich verwende typischerweise 20 Zeichen (3,20*10
40 Möglichkeiten) wo es nicht wichtig ist und 30 bis 40 Zeichen (5,74*10
60 bis 1,02*10
81 Möglichkeiten) an etwas heikleren Stellen. Oder eben doch
Zwei Faktor Authentifizierung