Qual è lo scopo della conferma della vecchia password per creare una nuova password?

Naviga le tue risposte
91

Supponiamo che qualcuno abbia rubato la mia password, lui / lei può facilmente cambiarlo confermando la vecchia password.

Quindi, sono curioso di sapere perché abbiamo bisogno di questo passaggio e qual è lo scopo dell'utilizzo della vecchia password di conferma?

    
posta ronaldtgi 15.06.2017 - 11:33
fonte

5 risposte

339

Se hai effettuato l'accesso e ti siedo al computer, posso bloccare l'account e trasferire la proprietà a me stesso.

    
risposta data 15.06.2017 - 11:36
fonte
136

Due ragioni principali:

  1. Se la tua sessione è compromessa (ad es. se lasci il computer e qualcun altro salta, o c'è una vulnerabilità di una sessione remota), impedisce ad un'altra persona di cambiare la password, bloccandoti dal tuo account.
  2. Se imponi una modifica della password, puoi controllare che la vecchia e la nuova password non corrispondano, senza dover memorizzare la vecchia password in una forma recuperabile - puoi controllarla, quindi controllare che la nuova non sia Lo stesso, anche con gli hash delle password completamente salati. Mentre è possibile controllare le corrispondenze esatte con solo l'hash, non consente controlli come "assicurarsi che la nuova password non sia la vecchia password con l'ultima cifra incrementata di uno", a volte richiesta dalle applicazioni più sensibili
risposta data 15.06.2017 - 11:38
fonte
92

Per aumentare le altre risposte, aggiungo per confermare che la tastiera funziona come l'utente intende.

Il blocco maiuscole può invertire la valigetta e il blocco numerico può cambiare se digiti ad es. un "4" sulla tastiera metterà invece il cursore a sinistra. Alcune interfacce mostrano un avvertimento, ma molti non lo fanno.

La maggior parte dei sistemi operativi presenta layout di tastiera software. Essere in grado di digitare correttamente la tua vecchia password è una buona prova del tuo intento di utilizzare il layout corrente.

Ho anche smesso di funzionare con chiavi individuali, il che causa frustrazione nel momento in cui risolvi il motivo per cui non riesci ad accedere da qualsiasi altra tastiera.

    
risposta data 15.06.2017 - 23:23
fonte
9

Penso che la conferma della vecchia password non ti aiuti a proteggere il tuo account nel caso in cui hai perso la password. Ma ha senso quando nessuno ha rubato la tua password, perché fa in modo che tu sia l'unico a poter cambiare la tua password (perché solo tu conosci la tua password). Ad esempio, nessuno conosce la tua password di Facebook, ma hai già effettuato l'accesso a Facebook con il tuo account sul tuo cellulare, e poi il tuo amico prende in prestito il tuo telefono. Se lui / lei vuole cambiare la tua password, è impossibile senza conoscere la tua password corrente.

    
risposta data 15.06.2017 - 11:51
fonte
1

È per aiutarti a mantenere l'account con te stesso.

Alcuni scenari

  1. I tuoi cookie vengono rubati da qualcuno tramite un middleware o altri metodi, quindi se il sito non ti ha richiesto la vecchia password, possono modificare l'email Password e recupero e quindi l'account non ti appartiene più.

  2. Se qualcuno ha accesso al tuo sistema al quale hai effettuato l'accesso, può cambiare la password e quindi recuperare l'email e quindi l'account non appartiene più a te.

risposta data 20.06.2017 - 10:36
fonte

Leggi altre domande sui tag

Devo revocare di non usare più Let's Encrypt certificates prima di distruggerli? Perché qualcuno dovrebbe "duplicare"?