<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <div class="moz-cite-prefix">On 1/24/23 15:40, Adam Thompson wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:YT2PR01MB4622B8C04F010CB399FFA19DABC99@YT2PR01MB4622.CANPRD01.PROD.OUTLOOK.COM">

      <meta name="Generator" content="Microsoft Word 15 (filtered

        medium)">

      <div class="WordSection1"><span>The goal should be to add the

          minimum increment of security that satisfies the business

          objective.  Unfortunately, the business objective here seems

          to have been “add 2FA” which is a technical objective, not a

          business objective.</span></div>

    </blockquote>

    <p>2FA is a business objective these days. If you don't use 2FA for

      email, VPN, and Domain Admin access, you are basically uninsurable

      for cyber risk right now (and have been for a year or more). I

      can't speak to exactly what underwriters would require of ARIN for

      ARIN's own services, so maybe this isn't a hard requirement today,

      but it's not unreasonable to think that it might be now or in the

      near future.</p>

    <br>

    <blockquote type="cite"

cite="mid:YT2PR01MB4622B8C04F010CB399FFA19DABC99@YT2PR01MB4622.CANPRD01.PROD.OUTLOOK.COM">

      <div class="WordSection1">

        <p class="MsoNormal"><span>Just enforcing password length >

            20 would have increased security without needing 2FA.

            (Obviously not increased *<b>enough</b>* to satisfy

            everyone, but my statement stands.)</span></p>

      </div>

    </blockquote>

    <p>A (the?) major goal of 2FA is to make it so that if your password

      is compromised, the attacker still cannot authenticate as you. No

      amount of password length or complexity helps with that.<br>

    </p>

    <p>In the typical corporate example... If I get your corporate

      password, without 2FA, I can login as you to every server /

      network device / whatever. With 2FA required, I can't login to

      anything (without also compromising your second factor). In other

      words, 2FA contains the initial breach, rather than letting the

      attacker run wild through the whole infrastructure. Requiring a

      unique password for every single device would accomplish the same

      thing without 2FA, but 1) that's not practical to enforce, and 2)

      that's worse for usability. So 2FA it is.<br>

    </p>

    <p><br>

    </p>

    <p>As to your particular troubles with breaking/losing

      authenticators... Get something like 1Password, set it up on

      multiple devices (which you're surely going to do anyway: phone,

      computer, etc.), and store your ARIN TOTP 2FA in there. You'll

      improve both security and convenience.<br>

    </p>

    <pre class="moz-signature" cols="72">-- 

Richard</pre>

  </body>

</html>