Memorizzazione della cronologia e delle informazioni della vecchia password

9

Google, Facebook, Twitter e molti altri servizi conoscono ancora le password più vecchie che abbiamo utilizzato sui nostri account. A volte, non posso riutilizzare la stessa password che ho. Quindi con Google, se digito una vecchia password per errore, mi viene comunicato quando ho cambiato la mia password per l'ultima volta. Penso che questo potrebbe essere più o meno una minaccia per la sicurezza a fare qualcosa di buono.

Perché queste aziende vogliono mantenere vecchie password e informazioni come quelle? Quanto dobbiamo preoccuparci che conservino tali informazioni, se qualcuno dovesse entrare nei nostri account?

    
posta Traven 13.07.2014 - 23:39
fonte

5 risposte

7

Sicurezza

Potrebbe sembrare un buco di sicurezza per te. Ma credimi, è uno dei più forti schemi di sicurezza. Ti impedisce di evitare di creare una tua vecchia password anche nei momenti di fretta. È davvero necessario per te non ricreare le tue vecchie password, dato che c'è sempre la possibilità che alcune persone conoscano la tua storia (amici o nemici, è ancora  conta come una minaccia alla tua privacy).

Convenienza:

Non hai idea di quanto sia utile per un utente quando viene avvisato di aver inserito la vecchia password per errore OPPURE lo hanno cambiato tempo indietro, ecc., aiuterà davvero un utente che ha digitato la sua vecchia password per errore.

Come violato:

Solo sapendo che hai cambiato la password il mese scorso non aiuterai un utente malintenzionato a indovinare la tua password attuale. È basato su le informazioni che hai messo online.

Ad esempio, quando un utente malintenzionato viene a sapere che modifichi la password due giorni prima, potrebbe farlo controlla il tuo blog o i siti di social network in cui sei coinvolto. Se inserisci informazioni correlate che potrebbero indurre a indovinare la tua password corrente, questo è il momento sei ufficialmente sballato e non per le tue reti ma per te.

Conclusione:

Quindi fai attenzione ai tuoi dati online. Aggiorna frequentemente password complesse e preoccupa meno delle vecchie password memorizzate da Facebook, Google, Twitter. Dopotutto esistono per fare soldi con il tuo utilizzo, il che significa che sono abbastanza disperati per proteggere la tua identità e le tue informazioni mentre li proteggono!

    
risposta data 14.07.2014 - 13:22
fonte
5

Nulla è sicuro al 100%, tuttavia, questa caratteristica di mantenere le vecchie password ti protegge dall'usare le password che sono note ad altre persone non autorizzate.

Diciamo che hai una password 123, qualcuno l'ha presa e poi l'hai cambiata. Qualche tempo dopo hai capito che hai bisogno di cambiare di nuovo la password. Quindi, se inserisci "123", il sistema non accetterà e ti invierà un messaggio.

Nel caso in cui il sito Web non stia memorizzando le vecchie password, l'aggressore o la persona malintenzionata può facilmente ottenere una sospensione del proprio account.

Un'altra cosa è che Google, Facebook e altri siti web controllano anche i cookie nel sistema. Se si rendono conto che l'account è stato utilizzato su questo computer, solo loro ti mostreranno un messaggio che informa che la tua password è stata cambiata in questa data.

È sempre opportuno mantenere una password complessa con caratteri maiuscoli e minuscoli, numeri e caratteri speciali con una lunghezza minima di 10 caratteri.

    
risposta data 14.07.2014 - 07:42
fonte
3

Non preoccuparti, i siti non hanno bisogno di memorizzare le tue vecchie password. Hanno semplicemente bisogno di memorizzare i sali e gli hash delle password precedenti. Quindi, anche se il loro sistema fosse stato compromesso, le tue password precedenti non sarebbero state rivelate. Per quanto riguarda il motivo per cui vogliono essere sicuri di non riutilizzare nessuna password precedente, è semplicemente nel caso in cui una qualsiasi delle password precedenti sia stata compromessa (o sia attualmente sottoposta a brute-forzate e in via di compromissione). Questa è una buona politica senza alcun rischio per i tuoi dati.

    
risposta data 15.07.2014 - 20:09
fonte
2

Molto probabilmente, qualcuno potrebbe digitare la tua vecchia password quando l'hanno già ottenuta (un ex bf / gf che tenta di perseguitare te, un hacker che ha rubato una password che riutilizzi). Quindi, facendogli sapere che la password utilizzata è ancora valida, non li lascia entrare.

È una funzionalità molto utile per esperienza utente . Potresti aver dimenticato che avevi cambiato la password, potresti anche non aver effettuato l'accesso per un po 'o essere solo stanco. Sapendo che non hai digitato un errore di battitura ma che in effetti stai cercando una password diversa ti aiuta a ritrovare la tua password in meno tentativi.

Dove potrebbe esserci un problema è che potrebbe perdere una vecchia password del tuo a qualcuno che indovina opportunisticamente (ad esempio qualcuno che ti ha surfato prima di cambiare la tua password, o qualcuno che sa tu e sai che usi una password molto semplice, posso spesso indovinare le password di mia madre, ad esempio). Se riutilizzi quella password in qualsiasi altro luogo, potresti trovarti nei guai.

È veramente importante? Un tale aggressore potrebbe indovinare la tua password attuale e ti trovi già in una situazione in cui sei vulnerabile e probabilmente rimarrai tale.

    
risposta data 13.07.2014 - 23:55
fonte
0

Ho visto un sistema che ha fatto qualcosa di veramente spaventoso. I requisiti sono stati originariamente:

* Don't permit new password to be too close
  (where close was measured in change distance) to old password.
* Don't permit new password to match N old passwords.

Finora, tutto bene. Quindi alcuni manager hanno deciso di leggere:

* Don't permit new password to be too close
  (where close was measured in change distance)
  to N old passwords.

Booo. Se close è maggiore di 1, la probabilità che stanno memorizzando le password hash a una via è remota. Remote come in I non può provare alcuna soluzione ma sono ragionevolmente certo che non esiste alcuna soluzione che non abbia incredibili aspetti negativi.

    
risposta data 13.11.2016 - 17:17
fonte

Leggi altre domande sui tag