Backgound
Leggendo questo articolo su BBC News del 29 marzo 2018, la società in questione ha subito una violazione dei dati e fino a 150 milioni di account nomi utente, indirizzi email e password sono stati potenzialmente rubati.
La società afferma:
passwords were protected by strong [BCrypt] encryption
E una voce indipendente [Troy Hunt] ha detto:
To its credit, ... [the companys] method of password storage is quite robust.
Discussione
La società afferma inoltre che:
The company will be requiring users to change their passwords and is urging users to do so immediately.
Domanda
Tuttavia; se una società utilizza "robusti" password di sicurezza e password hash; c'è un bisogno di sicurezza per poi cambiare questi hash?
Note
Mi rendo conto che la chiamata per cambiare le password è principalmente un'esercitazione di pubbliche relazioni e che alcune persone potrebbero quindi eseguire una query / PR negativo se la azienda non incoraggia gli utenti a modificare le password in seguito a una violazione; Tuttavia, dal punto di vista della sicurezza tecnica, non vedo che sia necessario modificare la password finché il metodo di crittografia è abbastanza strong e resiliente ai tentativi di bruteforce, cosa che sembra essere BCRYPT.