特别是对于 Google，如果您使用双因素身份验证，则可以安全地“弱化”您的密码“从 16 个字符的密码（搜索空间约为 10 ³⁰）到 8 个字符的密码（搜索空间约为 10 30）” 10 ¹⁴ " 只要您使用一个好的 8 字符密码（即完全随机且不跨站点重复使用）。

双因素身份验证的优势在于假设这两个因素需要不同类型的攻击，并且单个攻击者不太可能对单个目标执行两种攻击。要回答您的问题，我们需要分析较弱密码与强密码相比可能会发生哪些攻击，以及能够攻击较弱密码但不能攻击较长密码的人攻击第二个身份验证因素的可能性有多大。

^{现在，“搜索空间约为 10 30}的 16 字符密码”和“搜索空间约为 10 ¹⁴的 8 字符密码”之间的安全增量并没有您想象的那么大 -较弱的密码容易受到的攻击并不多，而较强的密码则不会。无论密码长度如何，重复使用密码都是危险的。MITM、键盘记录器和大多数其他常见的密码攻击也是如此。

密码长度有意义的攻击类型是字典攻击 - 即攻击者在字典中对您的密码进行详尽搜索的攻击。^{在登录屏幕中尝试所有可能的密码对于 10 14}的搜索空间显然是不可行的，但是如果攻击者获得了您密码的哈希值，那么检查这个哈希值对于 10 ¹⁴的搜索空间而不是对于10 ³⁰的搜索空间。

在这里，您在问题中指定了 Google 很重要。Google 非常重视密码安全，并尽其所能保护您的散列密码安全。这包括保护散列密码所在的服务器，并使用盐、胡椒和密钥拉伸来阻止以某种方式设法获取散列密码的黑客。

如果攻击者成功地绕过了上述所有，即能够获得谷歌的盐和哈希密码数据库，能够获得秘密辣椒，并且能够在 10 ¹⁴的搜索空间上使用密钥拉伸进行穷举搜索，那么除非你是中央情报局局长，否则攻击者不会浪费任何时间来破解你的手机以绕过第二个身份验证因素——他们将忙于破解数亿不使用两个身份验证的 Gmail 帐户——因素认证。这样的黑客不是专门针对您的人-而是针对整个世界的人。

如果您的数据非常有价值，以至于如此强大的黑客会专门针对您，那么您真的不应该首先将您的数据放在 Gmail 中。就此而言，您不应该将它放在任何连接到 Internet 的计算机上。

弱密码 + 双重身份验证可能仍然比单独的强密码更安全，但它不如强密码 + 双重身份验证安全。

这一切都取决于你有多弱：如果你一路走下去并且让密码变得微不足道，那么你实际上最终会得到单因素身份验证（谷歌短信到你的手机）。但这可能仍然比您原来的强密码更安全。

首先是TFA的基本概念： - 用户知道的东西（您使用的密码） - 用户拥有的东西（如果是 google，这是您的手机：他们会在您提供的电话号码上向您发送验证码）

首先你必须明白，从你所说的来看：

但是一直输入这些密码确实很麻烦，尤其是在手机或平板电脑上。

这意味着您很多时候都在通过手机使用 gmail，所以如果我偷了/或拿走了您的手机一段时间 - 您的 TFA 就变成了带有密码的 OFA。我会告诉你更多，在某些国家，如果你与在移动公司工作的人有联系并且有适当的访问权限 - 他们可以向某人发出你的电话号码。另一件事是攻击者可以拦截身份验证过程，我的意思是攻击者可以在您想收到消息时直接拿走您的手机。有了这种偏执狂之后，我会从另一种方式开始

想一想——TFA 很久以前就用过了，现在每天都有数百万客户使用，空间为 10000（4 位数）。这是你的银行卡。在您的一生中，您的卡被滥用的频率是多少？我假设不是很多。而且我很确定大多数人宁愿选择收你的钱也不愿阅读你的电子邮件。

另一点 - 谷歌不是最糟糕的公司，他们确实确保您的数据是安全的（如果有人证明他们不是 - 他们会放松给他们的竞争对手，他们会确保）。所以我很确定他们以正确的方式处理所有事情，他们实施 TFA 的原因是利用低密码。

这给我们带来了安全中最重要的问题之一：您的安全措施必须适合您试图保密的信息类型。每当我听到类似：“我使用 40 位密码来访问明天的天气预报”时，我的问题是为什么，我只使用 123 作为密码？如果我得到它会发生什么 - 你只需创建另一个帐户。那么有什么意义呢。当然，这是夸大其词。

但是，如果您认为您的通信非常重要，以至于有人仍然会保留您的手机并且会蛮力 16 个字符来获取它 - 很可能 gmail 对您不利，而且很可能在没有保镖的情况下走在街上好。

您已将问题结构化为自己的答案。

你能放松吗？是的。部署第二个因素增加了安全性。

我愿意打赌我下周的薪水，如果您添加 2Factor 并将您的密码从 32 个字符减少到 31 个字符，那么您并没有明显降低安全性。如果您将密码长度减少到 2 个字符，我不愿意做同样的赌注。边界在哪里？2F值多少字符？这就是我想要回答的问题。

相关的问题是你能放松多少？每种缓解措施的弹性如何？独立到什么程度？这些是钱的问题。