Aparte: Google no envía ese código
Primero una corrección menor. Google no le está enviando el código para su segundo factor. Ese número de seis dígitos se resuelve de manera diferente. He escrito una explicación de contraseñas de un solo uso basadas en el tiempo (TOTP) aquí: haciendo los dos pasos hasta el final de los tiempos, creo que es realmente genial.
Los ataques de fuerza bruta no se realizan contra la página de inicio de sesión en vivo
Como Riley Seaman señaló correctamente en su respuesta, un ataque de fuerza bruta contra el formulario de inicio de sesión web real es extremadamente improbable. Los sitios web regulan intentos y conexiones repetidas de muchas maneras.
Cómo se capturan las contraseñas
Lo que está haciendo la verificación en dos pasos de Google es proteger su cuenta si su contraseña se captura por algún otro medio. La forma más probable sería si usara la misma contraseña en sitios que se vean comprometidos. Por ejemplo, suponga que usa la misma contraseña en Gmail que usa en say, LinkedIn antes de que se vean comprometidas. En ese caso, se reveló su base de datos de contraseñas hash.
- ¿Cómo funciona la piratería informática?
- ¿Cuáles son algunas de las mejores películas de "piratería"?
- ¿Cómo puedo asegurar mi sitio de las inyecciones Havij SQL?
- ¿Hay alguna forma de entrar en una computadora sin dejar rastro (no con el propósito de estafar a una empresa sin dinero)?
- ¿La autenticación de dos factores revela las contraseñas de los usuarios?
Las personas pudieron lanzar ataques de fuerza bruta contra las contraseñas hash allí. Pero estos ataques se hicieron “fuera de línea”. En cuestión de horas, la mayoría de esas contraseñas fueron descifradas, y en cuestión de días casi todas. También he escrito una descripción de esto: una dieta sin sal es mala para su seguridad
Por supuesto, si las personas usan contraseñas a través de conexiones no encriptadas (http en lugar de https), cualquiera que escuche en la red puede obtener contraseñas. También se pueden robar las contraseñas engañando a las personas para que ingresen en sitios falsos, y cosas así.