È matematicamente possbile fare ciò che stanno facendo in modo sicuro per memorizzare le password in un modo che consentirebbe quella funzionalità, ma non avrebbe la vecchia password memorizzata in testo normale. Ma solo perché è matematicamente possibile, non significa che sia probabile.
Codifica omomorfica
A Eurocrypt 2004 Michael Freedman, Kobbi Nissim e Benny Pinkas ha presentato un articolo che si è esplicitamente indirizzato su come trovare in modo efficiente l'intersezione di due set senza rivelare il contenuto di uno dei due set (diverso dall'intersezione) a chiunque non lo avesse prima. È anche possibile trovare una stima della dimensione dell'intersezione senza nemmeno rivelare (molto circa) l'intersezione stessa.
Questo era il 2004 (ed era basato sul lavoro precedente). Quindi ci sono stati miglioramenti da allora in questo e relativi algoritmi. Quindi ci sono tecniche conosciute per scoprire quanti caratteri sono comuni a due set senza rivelare il contenuto di entrambi i set. (Nel caso si stia chiedendo, è solo un set, la vecchia password, che deve essere nascosta perché al sistema viene data la nuova password completa.)
Filtri Bloom
Se stiamo parlando di sovrapposizione di sequenze di quattro caratteri (anziché solo caratteri in entrambe le password), allora un modo ragionevolmente sicuro per farlo è con un Bloom Filter . Un filtro Bloom è un tipo speciale di tabella hash. Ogni sottostringa di quattro caratteri della password originale può essere aggiunta al filtro Bloom quando quella password fornita al servizio e quindi tutte e quattro le sottostringhe dei caratteri della nuova password possono essere ricercate nel filtro Bloom.
Si noti che i filtri Bloom sono progettati per quando ci sono molti membri del set e sono probabilistici. Possono dare falsi positivi.
La risposta ovvia è purtroppo corretta
Sarei sbalordito se il sito in questione utilizza la crittografia omomorfica o persino i filtri Bloom. Quasi certamente stanno facendo un modo in cui gli operatori del sito (e chiunque li violi) hanno accesso alle password in chiaro.