Quando si modifica una password, deve essere completamente diversa?

3

Quando si modifica una password, quanto è importante avere una differenza significativamente diversa? Ad esempio, è sbagliato invertire la sequenza della vecchia password per crearne una nuova o cambiare qualche numero?

    
posta Celeritas 25.07.2012 - 20:03
fonte

3 risposte

0

Entrambe le risposte attuali hanno parti interessanti e si completano a vicenda, ecco perché:

@curiousguy è vero quando dice:

Why do you change a password?

because you were told to do so or to defend against someone who knows your current password.

E @alcor è vero quando dice:

Suppose your initial password is: mahoney78

Your sha1-hashed password is: 98d7a3b353d3cf5c374fbc0c14b7ed503c674a7d Suppose you change the first letter, and make it capital: Mahoney78

Your sha1-hashed password is: c13fee55c4f91c0c6dadda8e7a2751955408b602

As you can see, it's very very different.

Il punto importante da ricordare qui è che, come precedentemente affermato, cambi la password quando ti viene detto così o perché il tuo è stato conosciuto da qualcun altro.

Se ti dico che la mia password è "password", e ti dico che ora, l'ho cambiata. Proverai tutte le possibilità come "p4ssword", "passw0rd", etc etc etc? Certo che no, perché ora può essere "google"!

Da un punto di vista esterno (ovvero senza il leakage del database), le tue uniche opzioni sono le forzanti brute (se il sistema di accesso è stato eseguito correttamente / in sicurezza). Forza brutalmente una password solo sapendo che la vecchia ti ha dato tante possibilità di non conoscere la vecchia password: puoi provare tutte le varianti di "password", ma non è garantito che sia vicino a quella!

Nel caso in cui tu abbia accesso al database, (e supponendo che il database memorizzi gli hash della password, non del testo normale), dovrai affrontare due hash completamente diversi per la stessa password che non ti aiuterà di più.

    
risposta data 26.07.2012 - 08:30
fonte
6

Perché cambi una password?

  • perché ti è stato detto di farlo;
  • per difendersi da qualcuno che conosce la tua password corrente .

Il problema con una piccola modifica è che data la password corrente, trovarne una nuova è molto più semplice.

    
risposta data 25.07.2012 - 20:06
fonte
-2

Dipende dal punto di vista e se sei preoccupato per qualcuno che potrebbe riscoprire la tua password in chiaro.

Dalla definizione di Hashing (di una password di testo non crittografata) piccole modifiche nell'input dovrebbero riflettere grandi cambiamenti nell'output.

Supponiamo che la tua password iniziale sia: mahoney78

  • La tua password sha1-hash è: 98d7a3b353d3cf5c374fbc0c14b7ed503c674a7d

Supponi di cambiare la prima lettera e di renderla maiuscola: Mahoney78

  • La tua password sha1-hash è: c13fee55c4f91c0c6dadda8e7a2751955408b602

Come puoi vedere, è molto diverso.

Quindi, per rispondere chiaramente alla tua domanda: SÌ, è assolutamente ok cambiare solo un carattere, o invertire, perché i criteri di rete non controllano queste cose (questo controllo dovrebbe essere un problema ).

    
risposta data 25.07.2012 - 20:10
fonte

Leggi altre domande sui tag