Perché Facebook si preoccupa di confrontare vecchie e nuove password?

Naviga le tue risposte
29

Una risposta a questa domanda dice che Facebook genera un una serie di password indovina per vedere se hanno l'hash uguale a una versione precedente della password.

Perché preoccuparsi? Se un servizio impone la password ogni per avere lunghezza e complessità sufficienti, perché dovrebbe interessarsi se la password modificata è simile alla password precedente, poiché in teoria ogni password è già sufficientemente lunga e complessa per soddisfare i requisiti di sicurezza ?

La politica di Facebook impedisce davvero un qualche tipo di attacco in cui gli hacker iniziano con lunghe e complesse congetture sulle password e poi provano variazioni minori, o è solo un irritante per gli utenti, impedendo loro di usare quelle che sono effettivamente nuove password sufficientemente buone?

    
posta Witness Protection ID 44583292 19.03.2014 - 05:08
fonte

2 risposte

47

Perché se Facebook può produrre algoritmicamente password simili, può farlo anche con un cracker della password.

La sequenza potrebbe andare così: Password compromessa - > l'utente lo trasforma in qualcosa di simile - > nuova password compromessa algoritmicamente provando password simili a quella precedente.

Inoltre, immagina uno scenario in cui un account viene specificamente preso di mira da un vero essere umano. L'utente malintenzionato può conoscere le password precedenti o avere un'idea di ciò che potrebbe essere stato approssimativamente (ad esempio, l'ex partner romantico del proprietario dell'account o qualcosa del genere). In questo caso, è più probabile che una password simile a una precedente sia stata indovinata.

    
risposta data 19.03.2014 - 06:50
fonte
0

Perché gli utenti possono aggirare facilmente la politica della vecchia password cambiando un personaggio. Dato che memorizzi gli hash e gli hash cambiano drasticamente in piccole modifiche sulla sorgente, non hai modo di misurare la "distanza" tra le diverse password hash.

Facile esempio che ho visto nella mia vita: hai costretto Alice ad usare una password strong fatta di lettere, numeri a e simboli, quindi ecco la sua password 

V@nillaSky2017

Dopo 3 mesi è tempo che Alice cambi la sua password. Stessi criteri

E la nuova password iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiis ................. 

V@nillaSky2018

#epicfail nient'altro da commentare

    
risposta data 25.07.2017 - 10:01
fonte

Leggi altre domande sui tag

Il filtraggio dei dati di input dell'utente è sufficiente o dovrebbe essere analizzato? Qual è il modo migliore per sanitare l'input dell'utente in PHP?