Taka mnie refleksje naszła, czy w PHP albo w jakimś innym języku w technologii WEB można by było zrobić logowanie za pomocą hasła + np. aktualnej daty np. Użytwnik miał by taki hasło dostępu quwert + date('m-d') oczywiście on by sobie sam wybierał zmnienną zamiast date('m-d') inną zmienną i np. logowanie dzisiaj by było quwer01-10 , a za miesiąc quwer01-11 i to by był jakiś lepszy system zabezpieczeń.
0
12
Hasła, konieczność ich zmiany itd. to taki mały rak w IT którego nie ma jak się pozbyć.
Co da Ci dodanie daty? Jeśli ktoś pozna właściwą część hasła to i tak podstawi sobie datę do niego i zaloguje się.
Dlatego powstały weryfikacje dwu etapowe. Jak chcesz mieć coś bezpieczniejszego rozważ 2FA.
9
Tak, jak mówi @jurek1980 - samo dodawanie jakiegoś numerka to absurd, w żaden sposób nie zwiększa bezpieczeństwa, za to niemiłosiernie wkurza użytkowników, a do tego (paradoksalnie) to bezpieczeństwo może być nawet obniżone. Bo im trudniej zapamiętać hasło, tym większe szanse, że będzie ono wisieć na karteczce na monitorze (albo przyklejone od spodu klawiatury).
Tutaj jedynym sensownym rozwiązaniem jest 2FA - czyli uwierzytelnianie dwuetapowe. Jeśli nie do końca kojarzysz o co chodzi - po zalogowaniu się hasłem, musisz to potwierdzić jeszcze jakimś innym kanałem - może to być wysłany mail z jakimś kodem weryfikacyjnym, może byś SMS. Można też stosować rozwiązania zbliżone do tego, co robią niektóre banki z ich tokenami sprzętowymi - coś w stylu YubiKe: https://www.x-kom.pl/p/683067-klucz-sprzetowy-yubico-yubikey-5-nano.html lub https://kluczebezpieczenstwa.pl/5-prostych-sposobow-yubikey/.
P.S. To, żeby zmieniać datę w haśle to nie jest tylko Twój wymysł. Na coś równie ciekawego wpadł informatyk z Centrum Powiadamiania Ratunkowego, czyli miejsca, które odbiera telefon 112 - https://niebezpiecznik.pl/post/instrukcja-tworzenia-hasel-taka-ze-az-boli-jak-sie-czyta/
5
@pol90 nie dość ze nijak to w niczym nie pomaga, to jeszcze sprawia ze jak wycieknie ci jedno czy dwa hasła to atakujacy moze przewidzieć wszystkie przyszłe hasła do końca świata. Genialny plan! A teraz idź zainstalować password managera i używaj wszędzie losowo generowanych haseł.
2
Jeśli już chciałbyś kombinować w tę stronę, to podobnie jak w przypadku niektórych systemów bankowych formularz powinien prosić o podanie wybranych n znaków wzorca (czyli np. dzisiejszej daty). Wtedy, nawet jeśli ktoś przechwyci użyte do pojedynczego logowania hasło, to nie wystarczy mu to, żeby wydedukować, jak wygląda cały wzorzec.