È scontato che gli utenti scelgano password sbagliate. Perché non aiutarli? Usando una scelta casualmente casuale da un grande dizionario, scegli una o due parole e dì all'utente di scriverle. Quando accedono, richiedono nome utente, password e le parole che sono state generate. L'hash della password si basa sulla concatenazione della password e delle parole segrete.
Ciò fornisce un chiaro incremento di entropia dal punto di vista di un hacker in fase di crack e impedisce che anche il riutilizzo della password sia un problema. Poiché l'entropia deriva dalla scelta casuale da un elenco, il server potrebbe normalizzare il caso e correggere automaticamente l'ortografia prima dell'hashing, per renderlo più semplice per gli utenti.
Credo che scrivere le password sia giusto nella maggior parte dei casi, perché le persone sono generalmente brave a proteggere le informazioni sensibili che scrivono. Istruendo l'utente a scrivere le parole segrete, l'onere di memorizzarle viene rimosso. Continueranno a scegliere una password per soddisfare requisiti minimi di complessità (ad esempio, minimo 8 caratteri, 2 set di caratteri, 4 caratteri univoci), quindi è probabile che non scriveranno l'intero codice di accesso (password + parole segrete).
Questa domanda è un'idea simile, ma invece di offrire scelte (che rimuove l'entropia, dato che gli utenti sceglieranno cose che "hanno senso"), le parole vengono fornite direttamente. Le parole sarebbero simili alle vecchie password AOL distribuite sui loro CD-ROM .
EDIT : il contesto che immagino sia un sito Web o un altro sistema con molti utenti distribuiti. Non sto necessariamente suggerendo questo per i sistemi di login aziendali.