In che modo Facebook sa che la mia nuova password è troppo simile alla mia vecchia password? [duplicare]

6

Sono ancora molto nuovo nel campo della sicurezza delle informazioni e, per quanto ne so, i siti Web utilizzano l'algoritmo di hashing sulle password degli utenti prima di memorizzarli e non conoscono la password in testo semplice di un utente.

Oggi ho provato a cambiare la mia password di Facebook, ma ho ricevuto questo errore,

Anche io non ricordo la mia vecchia password, quindi come potrebbe facebook sapere quale era la mia vecchia password?

    
posta Riley Willow 04.10.2015 - 14:10
fonte

2 risposte

3

Non sappiamo esattamente come Facebook gestisca le password degli utenti, tuttavia, possiamo immaginare questo scenario:

Un nuovo utente accede al suo account Facebook utilizzando la password: Password1 . È probabile che, immediatamente, Facebook generi password simili come: Passw0rd1 . pAssword2 , Passmord1 ... ecc.

Facebook memorizza i rispettivi hash (che sono diversi, ovviamente) in modo che se un utente digita la sua password (dopo il reset), l'hash della nuova password viene confrontato con tutti gli hash memorizzati: Facebook può dirti se la tua nuova password è simile a quella precedente o meno.

Modifica

Seguendo @ Philipp commento dicendo che Facebook non ha password di hash, voglio condividere queste informazioni che ho citato da la documentazione ufficiale di Facebook ( Mantenimento sicuro delle password ):

We hash each password using our internal password hashing algorithm and the unique salt for that person. Since Facebook stores passwords securely as hashes, we can't simply compare a password directly to the database. We need to hash it first and compare the hashes.

    
risposta data 04.10.2015 - 14:32
fonte
1

I dettagli tecnici vengono forniti in breve ma Facebook utilizza l'hashing con sali unici. Le password di testo in chiaro sono sottoposte a hash con algoritmo non rivelato (come Facebook non lo ha rivelato) e quindi prefissato o postfisso con sale unico e confrontato. Se corrisponde allora l'utente ottiene il semaforo verde altrimenti no. Nel caso in cui, con password simile, Facebook possa utilizzare password hash precomputer e previste come sostituire a con @ o i con 1 o sostituire alfabeto / s con lettere maiuscole o minuscole. Viene fornito qui in breve.

    
risposta data 04.10.2015 - 15:33
fonte

Leggi altre domande sui tag