Il riutilizzo della password può essere considerato una pandemia di sicurezza. Il modo ovvio per risolvere questo problema è incoraggiare le persone a utilizzare i gestori di password, ma (relativamente) poche persone lo fanno effettivamente.
La mia idea è di avere siti Web, una volta che un utente si registra o cambia la propria password, per verificare tutti gli altri account con la stessa password. Se ne viene trovato uno, dopo un ritardo impostato di circa un giorno, verrà inviata una email all'utente che si è iscritto o modificato la sua password avvisandoli di questo fatto e raccomandando di cambiarne la password.
Posso immaginare un problema immediato con questo, che è risorse di sistema. È costoso disporre di password hash sicure e hashing di una singola password per il confronto con migliaia, probabilmente milioni di account sarebbero tassati. Un altro possibile problema è lo spam, ma credo che questo possa essere risolto facilmente con la verifica dell'e-mail.
Supponendo che le pratiche di archiviazione delle password siano corrette e presumendo che le risorse di sistema non siano un problema, ci sono dei problemi di sicurezza riguardo a ciò?
Per ripetere:
- Un utente si registra o modifica la password.
- Il sistema controlla se quella password è utilizzata in qualsiasi altro account. Durante questo periodo, la password viene memorizzata. Se il sistema subisce un errore durante questo periodo, il controllo viene annullato e si presume che la password sia univoca.
- Se viene riutilizzato, l'utente riceve un'e-mail il giorno successivo semplicemente dicendo che la sua password è utilizzata altrove e raccomanda all'utente di cambiarla.