Para analizar esto, debemos pensar detenidamente en varios escenarios que estipulan qué conocimiento tiene el atacante y luego razonar sobre qué otra información pueden deducir.
La respuesta de Mark Burnett ya nos proporciona uno de estos escenarios: si el atacante adquiere su contraseña de uno de los sitios, entonces conoce todos menos dos caracteres de su contraseña en los demás (tomando su sugerencia de usar "un par" de sal personajes literalmente), y por lo tanto pueden adivinar fácilmente los demás. Ya que el punto de usar diferentes contraseñas en diferentes sitios es protegerlo contra un atacante que aprende su contraseña en un sitio, esto prácticamente anula su propuesta, diría yo.
Aquí hay un segundo escenario: el atacante no conoce ninguna de tus contraseñas, pero sabe que podrías construirlas de acuerdo con la regla que describiste, que explicaré como esto:
- Construya una contraseña maestra compartida de acuerdo con alguna regla general;
- Construya una sub-contraseña variante para cada sitio agregando una sal de dos caracteres.
Si el atacante sabe que crea sus contraseñas de esta manera, las estrategias para adivinar # 1 se adaptan muy fácilmente para adivinar # 2, porque la sal de dos caracteres apenas agrega entropía a la contraseña maestra.
Tercer escenario: un atacante que no conoce ninguna de sus contraseñas, ni sabe ni adivina que las construye de acuerdo con este procedimiento. Luego diría que si es efectivo depende de la estrategia que utilicen para adivinar las contraseñas. Tendrías que saber o adivinar su estrategia para adivinar contraseñas, lo que no sabes. Pero entonces no tiene motivos para creer que su esquema de contraseña será más o menos seguro que una alternativa.
La única virtud que puedo ver en esto, entonces, es que hace que sus contraseñas sean más fáciles de recordar. Pero creo que el primer escenario derriba todo el enfoque, punto. Y el hecho triste es que las cosas que hacen que las contraseñas sean más fáciles de recordar generalmente también las hacen más fáciles de adivinar.