20.11.4  一次性口令

像John the Ripper这样的穷举破解工具引起了人们对静态口令不安全性的关注。即使采取了像PAM和口令时限这样的措施，用户仍然会选择容易记住但很脆弱的口令，而且会把口令写在一次性贴纸上，和同事们共用。一次性口令要强制每次登录使用唯一口令来解决这个问题。因为口令总是在变，所以穷举破解工具就没有用处了。

现如今，一次性口令最常出现在商业性的安全产品中。一些厂家提供的一次性口令系统采用了小“钥匙扣”（或者信用卡）大小的设备，这些设备有LCD显示，能随时为用户的登录生成口令。分发和替换这些小硬件设备至少也会让您的系统管理助理每周忙上几个小时。