Rafforza o indebolisce la sicurezza se non si può cambiare la password che ha usato prima?

Naviga le tue risposte
5

Ho trovato un servizio www che consente di modificare le password ma non è consentita la password alla vecchia password che ho usato prima. Questo ha qualche impatto sulla sicurezza? Voglio dire, le persone genereranno password da una lista in cui la prossima password può essere facilmente indovinata, come password1, password2, ... Penso che questo potrebbe indebolire la sicurezza se un hacker ottiene password precedenti e cerca di trovare qualche pattern dalle password.

    
posta layman 30.10.2017 - 20:54
fonte

3 risposte

4

L'impatto non è definito. La scelta di password che abbiano una sequenza riconoscibile è un problema di sicuro nei sistemi che richiedono modifiche periodiche della password e impediscono il riutilizzo della password, tuttavia non sono a conoscenza di alcuna prova che È anche un problema il sistema che semplicemente consente di modificare la password e impedire il riutilizzo della password.

Come con qualsiasi sistema, i vantaggi e gli svantaggi offrono compensazioni. Ci sono certamente degli svantaggi, come la necessità di archiviare i vecchi hash delle password che potrebbero essere potenzialmente rubati e brute-forzati insieme agli hash correnti. Ci sono anche teoricamente potenziali vantaggi nel fatto che se le password precedentemente utilizzate che sono state comprese non possono essere riutilizzate, non possono fornire a un utente malintenzionato finestre di attacco aggiuntive.

In definitiva, l'impatto di questo singolo controllo è minimo. È improbabile che possa aiutare o danneggiare la sicurezza in modo significativo e significativo. È molto più importante che gli utenti generino una password strong e unica, non la riutilizzino in tutti i sistemi e li cambino quando si sospetta un compromesso.

    
risposta data 30.10.2017 - 21:07
fonte
2

Direi che rafforza la sicurezza (almeno un po ').

Perché? Perché se si utilizza lo strumento "cambia password", si desidera modificare la password. "Cambiare" la password per la password che hai prima non è quindi un comportamento utile dell'applicazione.

Se controlli la nuova password solo contro l'ultima password (e non la confronti con qualsiasi password precedente), non ci sono aspetti negativi di questa soluzione.

    
risposta data 30.10.2017 - 22:37
fonte
-4

Perché il riutilizzo del riutilizzo è sbagliato nella pratica:

  • L'utente continua a dover generare nuovi passaggi
  • L'utente esaurisce pass facilmente memorizzabili e finisce con l'uso di parole senza senso
  • L'utente non può ricordare parole senza senso e lo scrive
  • Qualcuno lo vede e fa scorrere l'account dell'utente
risposta data 02.11.2017 - 02:39
fonte

Leggi altre domande sui tag

Javascript - Crittografia lato client / archiviazione chiavi Memorizzazione del token di autenticazione sul dispositivo Android