Con bussare alla porta, devi "bussare" su porte specifiche nell'ordine definito per esporre una porta su cui è in esecuzione il servizio.
Che ne dici di password knocking ? Ad esempio hai tre password: A
, B
e C
. Nessuno di essi è corretto da solo, ma inserito uno alla volta in questo ordine ti concederanno l'accesso.
Alcuni scenari per rendere più chiara questa idea:
Scenario 1.
- Tu: password
A
.- Server: password non valida.
- Tu: password
B
.- Server: password non valida.
- Tu: password
C
.- Server: Password accettata .
Scenario 2.
- Tu: password
A
.- Server: password non valida.
- Tu: password
C
.- Server: password non valida.
- Tu: password
B
.- Server: password non valida.
Scenario 3.
- Tu: password
A
.- Server: password non valida.
- Tu: password
B
.- Server: password non valida.
- Tu: password
B
.- Server: password non valida.
- Tu: password
C
.- Server: password non valida.
Scenario 4.
- Tu: password
A
.- Server: password non valida.
- Tu: password
A
.- Server: password non valida.
- Tu: password
B
.- Server: password non valida.
- Tu: password
C
.- Server: Password accettata .
Non riesco a pensare ad alcun inconveniente di questo metodo rispetto al normale accesso con password singola. Inoltre, rende gli attacchi di dizionario esponenzialmente più difficili con ogni password aggiunta.
Mi rendo conto che la sicurezza è oscurata e non abolisce la necessità di password complesse. La stessa sequenza di password è strong come una concatenazione di password utilizzate. La sicurezza aggiunta in questo metodo deriva da una procedura inaspettatamente complessa.
È una buona idea? È un'idea migliore della classica password?