La compagnia può dire se le password vecchie e nuove sono troppo simili. C'è un problema di sicurezza? [duplicare]

15
  • Ho parlato con un dipendente di una grande azienda internazionale in Germania.

  • Ha detto che i dipendenti sono avvisati se la loro nuova password è troppo simile alla vecchia password. (ad esempio se cambiano la password da ThePassword12345 a ThePassword12344 .

  • Lo scopo dell'utilizzo delle funzioni di hashing è di non essere in grado di distinguere tra una password e una stringa casuale.

  • Dato che possono capire se la differenza è troppo piccola, devono salvare almeno una password in chiaro.

  • Il dipendente ha affermato di utilizzare i sistemi Windows / SAP (e gli avvertimenti su tutti i sistemi)

La mia domanda è quindi se la mia analisi è corretta o il mio errore. Dato che assumono anche molte persone di informatica, direi che l'errore dipende dalla mia parte, non dalla loro.

    
posta toogley 14.10.2016 - 07:35
fonte

2 risposte

31

Di solito, quando gli utenti cambiano la password su un sistema, devono inserire anche la loro vecchia password, insieme alla nuova password.

Ora, questo old password viene sottoposto a hash e controllato rispetto all'hash memorizzato nella macchina (la password non è archiviata in chiaro). Se gli hash corrispondono, il sistema procede a confrontare old password e new password . Se rileva che le 2 password sono troppo simili, genera un errore, informando l'utente dello stesso.

Nel caso in cui le password siano sufficientemente diverse in base alla logica di sistema, la nuova password viene cancellata e questo nuovo valore di hash viene memorizzato nel sistema, modificando quindi la password dell'utente.

Nel caso in cui gli utenti NON siano obbligati a inserire la loro vecchia password, ti consiglio di verificare meglio con il tuo team di supporto IT e sollevare una preoccupazione con il proprietario del sistema ...

UPDATE: Come sottolineato nei commenti, c'è un altro modo per aggirare questo problema senza chiedere la vecchia password dell'utente. Quando l'utente immette la nuova password, il sistema genera le variazioni della nuova password immessa, esegue l'hash di ciascuna di esse e confronta ogni hash con l'hash della vecchia password. Se una qualsiasi delle hash corrisponde, genera un errore. Altrimenti, cambia la password con successo.

    
risposta data 14.10.2016 - 07:57
fonte
7

Questo è un requisito comune. La logica è che devi cambiare regolarmente la tua password nel caso in cui sarebbe stata compromessa senza che te ne accorgessi (qualcuno che ti guarda da dietro, ecc.).

Se la nuova password è troppo simile a quella vecchia, un utente malintenzionato potrebbe prima provare una leggera variazione rispetto a quella precedente (presumo che sia stato in grado di rubarlo prima). Nel tuo esempio, cambi solo l'ultimo carattere numerico: massimo 10 tentativi.

Ma questo è not normalmente implementato memorizzando la vecchia password in chiaro! Tutti ora sanno che è cattivo . Semplicemente i moduli di cambio password richiedono la vecchia password e la nuova (ripetuta due volte). In questo modo:

  • la vecchia password è controllata per essere sicuro di non aver lasciato la workstation ancora connessa e qualcuno ti sta ingannando
  • la nuova password può essere confrontata con quella precedente e verrà rifiutata se è troppo simile
  • la nuova password viene inserita due volte per limitare il rischio di errori di battitura

E viene memorizzato solo un hash della password ...

    
risposta data 14.10.2016 - 07:57
fonte

Leggi altre domande sui tag