Oltre alle best practice standard sugli accessi password. Qualcuno ha considerato un sistema simile a un captcha, ma invece di digitare semplicemente quello che è nel captcha, il captcha sarà le indicazioni su cosa devi fare per la tua password durante il login.
Ad esempio se la mia password era "password123" nella pagina di accesso se ho usato quella password non funzionava. Se segui il messaggio, potresti dire qualcosa come aggiungere la lettera "E" dopo la seconda lettera nella tua password, quindi aggiungere un "!" simbolo alla fine. Quindi un log di successo richiederebbe "paEssword123!". I requisiti e la complessità delle modifiche alle password potrebbero variare notevolmente da una modifica a più modifiche ai tipi di modifiche. Ogni tentativo genererebbe un nuovo insieme casuale di requisiti di modifica della password. Quindi, se l'hanno digitato a wong, il prossimo login potrebbe dire in maiuscolo le prime 3 lettere e in minuscolo il resto della password, quindi aggiungere il numero 5 nel penultimo carattere (PASsword1253).
EDIT: non è possibile eseguire le modifiche maiuscole / minuscole perché poiché la password originale è sconosciuta, il sistema non è in grado di rimuovere le modifiche richieste prima di testare la password reale. Ma potresti comunque aggiungere aggiunte di caratteri.
Pertanto (altri poi quando hanno creato la password per la prima volta) la loro password non viene mai più inserita nel sito Web come password esatta. Quindi i keylogger non sarebbero in grado di copiare semplicemente ciò che digitano perché la password sarebbe tecnicamente diversa a ogni tentativo di accesso.
Se ci fosse keylogging, potrebbe avere il 90% della password reale (a seconda di quanto un utente doveva modificarlo durante gli accessi) ma renderebbe ancora più difficile indovinare e quindi scrivere software in grado di leggere le regole del captcha e modifica la password (e non saprebbero nemmeno quale sia la vera password a questo punto) ogni volta in un attacco di forza bruta.
Il salvataggio della password del browser o qualsiasi cosa che salva le password per te non funzionerebbe, sarebbe un po 'un problema ogni volta che dovessi fare il login, ma se questo fosse un dato importante come le informazioni bancarie sarei disposto a spendere qualche secondo in più accesso per ulteriore sicurezza, esp. contro cose come i keylogger.
Altri utenti che hanno problemi a seguire le regole durante il login, ci sono altri difetti a questa idea? Sembra che funzioni o non funzioni e perché?
Grazie per la tua opinione.