Z pukaniem portów, musisz "zapukać" do określonych portów w określonej kolejności, aby ujawnić port, na którym działa usługa.
A co z stukaniem hasła ? Na przykład masz trzy hasła: A
, B
i C
. Żaden z nich nie jest poprawny sam w sobie, ale wprowadzane pojedynczo w tej kolejności zapewnią Ci dostęp.
Kilka scenariuszy, aby wyjaśnić ten pomysł:
Scenariusz 1.
- Ty: Hasło
A
.- Serwer: nieprawidłowe hasło.
- Ty: Hasło
B
.- Serwer: nieprawidłowe hasło.
- Ty: Hasło
C
.- Serwer: Hasło zaakceptowane .
Scenariusz 2.
- Ty: Hasło
A
.- Serwer: nieprawidłowe hasło.
- Ty : Hasło
C
.- Serwer: nieprawidłowe hasło.
- Ty: Hasło
B
.- Serwer: nieprawidłowe hasło.
Scenariusz 3.
- Ty : Hasło
A
.- Serwer: nieprawidłowe hasło.
- Ty: Hasło
B
.- Serwer: nieprawidłowe hasło.
- Ty: hasło
B
.- Serwer: nieprawidłowy hasło.
- Ty: Hasło
C
.- Serwer: nieprawidłowe hasło.
Scenariusz 4.
- Ty: Hasło
A
.- Serwer: nieprawidłowy hasło.
- Ty: Hasło
A
.- Serwer: nieprawidłowe hasło.
- Ty: Hasło
B
.- Serwer: nieprawidłowe hasło.
- Ty: Hasło
C
.- Serwer: zaakceptowano hasło .
Nie przychodzą mi do głowy żadne wady tej metody przez zwykłe logowanie za pomocą jednego hasła. Co więcej, sprawia, że ataki słownikowe są wykładniczo trudniejsze z każdym dodanym hasłem.
Zdaję sobie sprawę, że jest to zabezpieczenie przez zapomnienie i nie znosi potrzeby stosowania silnych haseł. Sama sekwencja haseł jest tak silna, jak konkatenacja używanych haseł. Dodatkowe bezpieczeństwo w tej metodzie wynika z nieoczekiwanie złożonej procedury.
Czy to dobry pomysł? Czy to lepszy pomysł niż klasyczne hasło?