Non è troppo facile creare una password affidabile e allo stesso tempo memorabile.
Quindi, che ne dici di un numero di domande memorabili invece di una singola password? (Questa idea è correlata a questo )
Lascia che l'utente crei le domande da solo. Potrebbe essere qualsiasi stringa, anche un numero casuale di simboli, purché gli ricordi qualcosa. Renderà la registrazione molto più lunga, sì.
UPD : quando un utente accede, vede la domanda a cui sta rispondendo, quindi le domande funzionano come suggerimenti per la password. Giusto per chiarire.
Le risposte vengono memorizzate come hash (con il corso salato) (sarà utile la crittografia aggiuntiva?). Le domande vengono archiviate crittografate in una catena, ad eccezione del primo - la risposta per la prima domanda è la chiave per decifrare quella successiva e così via. Ciò garantisce che un potenziale violatore dovrà ottenere la risposta per ogni domanda una alla volta in una sequenza rigorosa, il che renderà più difficile l'interazione con il social engineering.
Ripristina in caso di risposta dimenticata per una delle domande: la parte dimenticata della catena viene cancellata e l'utente è autorizzato a "coltivare" una nuova invece di quella. Ovviamente, prima chiediamo all'utente se vuole davvero farlo via email.
Ripristina in caso di risposte compromesse: l'intera catena viene cancellata e l'utente può crearne una nuova. Ancora una volta, conferma email.
(questa idea si basa sull'e-mail, potrebbe essere un problema)
Potrebbe essere migliore dell'autent password standard?