In un'azienda a cui ho lavorato, ho dovuto cambiare la password ogni 90 giorni e ho potuto riutilizzare una password solo dopo 8 iterazioni. Questo rifiuto includeva le password troppo simili a quelle vecchie, ad es. quando ho cambiato solo una lettera, quella nuova password non è stata accettata.
Significa che stavano memorizzando questa password in testo semplice? Mi sembra una pratica piuttosto negativa. O c'è qualche funzione di hash che consente confronti di somiglianza?
No, non significa che stanno memorizzando le password in testo normale. La domanda non descrive completamente il comportamento. Stanno facendo corrispondenze solo con i pattern della tua password corrente o con i pattern di tutti 8 delle tue password precedenti?
Se è il primo caso, la risposta è semplice, e questo è che hanno gli hash delle 8 password precedenti da confrontare, e quando cambi la tua password, inserisci la tua password attuale e la tua nuova password e ora hanno entrambi di questi in testo semplice da confrontare per i modelli. Questo è più probabile di ciò che sta accadendo.
Se è il secondo caso, ci sono ancora molti altri modi in cui ciò potrebbe essere fatto, inclusa la memorizzazione delle password in un formato crittografato (anziché in formato hash), in modo che possano essere decodificati e confrontati, o memorizzare il modello (o maschera ) delle password insieme agli hash e quindi non consentire nuove password che corrispondono a una di quelle vecchie maschere. Probabilmente queste opzioni non sono sicure quanto la semplice memorizzazione degli hash, ma ciò non dovrebbe preoccuparti in particolare ... È un rischio per l'azienda non per te, e se ritengono che sia un rischio accettabile, allora è la loro decisione. La tua unica preoccupazione (e indipendentemente dalla politica sulle password della tua azienda, questo dovrebbe sempre essere un problema per te) è garantire che le password che usi per la rete di lavoro siano diverse da quelle che usi ovunque , quindi un compromesso della tua password di lavoro non mette in pericolo i tuoi account personali e viceversa.
Un hash per definizione non dovrebbe consentire di trovare se è simile a qualcos'altro.
Da wikipedia:
Hai provato se il sistema verifica realmente questa regola? Non riesco a pensare a un modo per farlo senza memorizzare la password in un formato recuperabile (come testo in chiaro o crittografia con una chiave simmetrica)
Posso pensare ad alcune opzioni
Molto probabilmente, stanno memorizzando password crittografate anziché hash. Questo non è sicuro come hashing con un algoritmo hash strong ma finché la chiave di crittografia è protetta correttamente non dovrebbe essere un problema
Un'altra opzione probabile è confrontare la nuova password con quella precedente quando la inserisci. Puoi verificare se questo è vero usando una funzione di password dimenticata o cercando di usare una password simile a una precedente ma non l'ultima
Un'altra opzione è quella di prendere la nuova password ed eseguire alcune permutazioni, sostituzioni, aggiungere e / o sottrarre alcuni caratteri, quindi cancellare questa password modificata e confrontarla con gli hash precedenti. Essenzialmente è come archiviare gli hash per password simili quando lo si cambia, ma probabilmente non è fattibile a causa dello spazio richiesto per avere tanti hash
L'ultima opzione, è quella di avere le password in chiaro. Non c'è bisogno di dire quanto sia insicuro