Quando chiedo di cambiare la mia password, Google a volte non consente password identiche a quelle che ho usato prima. C'è una ragione per cui questo accade?
Quando chiedo di cambiare la mia password, Google a volte non consente password identiche a quelle che ho usato prima. C'è una ragione per cui questo accade?
Per approfondire ciò che ha detto @ QuBit5, è prassi comune archiviare non solo la chiave hash / derivata della password corrente dell'utente, ma anche archiviarli per le ultime password X dell'utente (dove X varia da 1 a infinito, ma di solito è meno di 10). Quando l'utente prova a cambiare la propria password, o richiede una reimpostazione della password, non è consentito riutilizzare una delle vecchie password supponendo che le password vecchie (o precedentemente perse) abbiano più probabilità di essere state compromesse da una attaccante, e quindi non dovrebbe essere usato di nuovo. Il software (sul server) esegue la password tramite la sua funzione di derivazione hash / chiave e controlla il valore risultante rispetto ai valori per le vecchie password dell'utente. La modifica / ripristino della password ha esito positivo solo se la nuova password non è stata utilizzata in precedenza.
Questo tipo di schema è più comunemente associato a una scadenza obbligatoria della password, in base al fatto che l'utilizzo della stessa password per troppo tempo rende più probabile che sia stato compromesso. Ovviamente, un tale schema potrebbe essere aggirato dagli utenti che cambiano la loro password in una temporanea e quindi cambiandola immediatamente a quella a lungo termine, da qui la necessità di ricordare i vecchi valori. A volte viene utilizzato anche dopo un compromesso di sicurezza che potrebbe aver determinato l'accesso ai dati di autenticazione, sulla base del presupposto che tutte le password in uso al momento del compromesso dovrebbero essere considerate compromesse e non dovrebbero mai più essere utilizzate.
Questi siti memorizzano le tue password precedenti in alcuni moduli. Può essere sia in testo semplice (vale a dire la password così com'è) OPPURE un hash (ad esempio SHA256 o migliore ) di esso.
La memorizzazione di password in testo semplice è una cattiva sicurezza del design perché lascia la password nel database che può essere riutilizzata così com'è se il database è compromesso.
Leggi altre domande sui tag passwords