不断更改密码的算法本身就是个坏主意吗?

我认为,在防止蛮力攻击方面可以取得的安全收益将不仅仅是由实现中固有的弱点来抵消的。

如果您使用的是散列密码,那么将无法与变量密码进行比较。我想你可以用可逆加密来实现,但我真的不认为它值得。

它可能会生成密码 更容易的 猜猜。

如果有一些标准规则,如您所描述的,我可能会猜测您会选择一个简单的单词,然后应用其中一个规则。所以我可以使用基于字典的攻击(从简单的单词开始!)并应用所有可用的规则。

它给用户增加了不必要的负担,可能不值得额外的麻烦。

不过,变量密码就在外面,一个例子是 RSA SecurID ,通常用于VPN接入企业网络。