我一直想知道为什么网站不提供“可变密码”选项,其中用户的密码会根据星期几或一天中的时间不断变化。例如“我的密码是'foo',后面是当天的当前小时,总是表示为两位数。”
我理解基本的安全性101,对陷门功能的需求,以及从不存储用户实际密码的谨慎。
那就是说,为什么变量密码不起作用有一些固有的安全原因?我想你可以简单地陷入用户给定密码的非变量部分,然后预先添加/附加变量部分。 (是的,我真的没有超过2分钟的思考)。
答案 0 :(得分:4)
我认为,在防止暴力攻击方面可以取得的安全成果将远远超过实施中固有的弱点。
如果您使用的是散列密码,则无法与变量密码进行比较。我想你可以用可逆加密来做到这一点,但我真的不认为这是值得的。
答案 1 :(得分:3)
可能会使密码更容易猜测。
如果您描述了一些标准规则,我可能会猜测您会选择一个简单的单词,然后应用其中一条规则。那么我就可以使用基于字典的攻击(从简单的单词开始!)并应用每个可用的规则。
答案 2 :(得分:0)
它给用户增加了不必要的负担,可能不值得额外麻烦。
可变密码虽然在那里,但有一个例子是RSA SecurID,它通常用于VPN进入公司网络。