Являются ли алгоритмы для постоянно меняющихся паролей изначально плохой идеей?

Question

Мне всегда было интересно, почему веб-сайты не предлагают опцию «переменный пароль», в которой пароль пользователя постоянно меняется в зависимости от дня недели или времени дня. например «мой пароль -« foo », за которым следует текущий час дня, всегда выражаемый двумя цифрами».

Я понимаю базовую безопасность 101, необходимость в функциях люка и осторожность, никогда не сохраняя действительный пароль пользователя.

Тем не менее, существует ли какая-то внутренняя причина безопасности, почему переменные пароли не будут работать? Я полагаю, что вы можете просто заманить в ловушку не изменяемые части заданного пользователем пароля, а затем добавить / добавить переменные части. (Да, я действительно не думал об этом более 2 минут).

Answer 1

Я думаю, что повышение безопасности, которое может быть достигнуто в предотвращении атаки методом перебора, будет более чем нейтрализовано слабостями, присущими реализации.

Если вы используете хешированные пароли, сравнение с переменным паролем будет невозможно. Я полагаю, вы могли бы сделать это с помощью обратимого шифрования, но я действительно не вижу, чтобы это того стоило.

Answer 2

Это может сделать пароли проще угадать.

Если бы было несколько стандартных правил, таких как вы описали, я мог бы предположить, что вы выбрали бы простое слово и затем применили одно из этих правил. Тогда я могу использовать атаку на основе словаря (начиная с простых слов!) И применять каждое из доступных правил.

Answer 3

Это добавляет ненужную нагрузку на пользователя и может не стоить дополнительных хлопот.

Хотя есть переменные пароли, и один пример - RSA SecurID , который обычно используется для VPN-подключения к корпоративным сетям.