Il riutilizzo della password è negativo per molte molte ragioni. I sistemi più sicuri richiedono la modifica di una password che impedisce regolarmente il riutilizzo.
Una possibile soluzione a questo è uno schema di generazione di password. Immagina una password di base e un semplice algoritmo per modificarla basandosi su una password molto semplice o breve che viene creata ogni volta. La versione più semplice è l'aggiunta della password breve alla password di base.
Guardando la versione più semplice, ho una password di base foo
e per ogni sito web mi viene in mente una parola facile da ricordare, non eccessivamente sicura, per modificarla. Quindi la mia password per gitlab diventa fooGit
e la mia password per Facebook è fooFace
ecc. Per i luoghi che richiedono la modifica delle password ogni mese, potrebbe essere semplice come fooOne
, fooTwo
, fooThree
ecc, alcuni facili per ricordare le modifiche ogni mese.
Supponendo che foo
sia in realtà una password relativamente strong, quanto sarebbe sicuro un simile approccio come questo?
Se l'algoritmo che ho menzionato fosse banale come quello che ho menzionato, sarebbe facile per qualcuno che ha la vecchia password indovinare con una nuova password. Tuttavia, qualcuno dovrebbe avere accesso ad almeno due password alternative per capire come usare un algoritmo come questo, e anche in quel caso avrebbero bisogno di indovinare il valore aggiunto ad esso. Mancheranno le tabelle dell'arcobaleno per l'algoritmo della password, quindi a meno che non riescano a indovinare quale sia la tua prossima password, hanno mezzi limitati per attaccare la tua password, immagino?
La mia convinzione è che questo approccio porterebbe ad un approccio relativamente sicuro, nonostante il potenziale di indovinare le password quando qualcuno individuerà l'algoritmo. Il mio ragionamento è fondamentalmente che nessuno sta cercando questo algoritmo e quindi è probabile che passi inosservato. È vero o gli attaccanti sono a conoscenza di persone che provano qualcosa del genere e cercano attivamente di sfruttarlo?
Se l'algoritmo fosse leggermente più complesso di "basta aggiungere i due valori", ma comunque abbastanza semplice da essere fatto rapidamente in testa, ciò farebbe di tutto per aumentarne la sicurezza?