Quando si modifica una password, quanto è importante avere una differenza significativamente diversa? Ad esempio, è sbagliato invertire la sequenza della vecchia password per crearne una nuova o cambiare qualche numero?
Entrambe le risposte attuali hanno parti interessanti e si completano a vicenda, ecco perché:
@curiousguy è vero quando dice:
Why do you change a password?
because you were told to do so or to defend against someone who knows your current password.
E @alcor è vero quando dice:
Suppose your initial password is: mahoney78
Your sha1-hashed password is: 98d7a3b353d3cf5c374fbc0c14b7ed503c674a7d Suppose you change the first letter, and make it capital: Mahoney78
Your sha1-hashed password is: c13fee55c4f91c0c6dadda8e7a2751955408b602
As you can see, it's very very different.
Il punto importante da ricordare qui è che, come precedentemente affermato, cambi la password quando ti viene detto così o perché il tuo è stato conosciuto da qualcun altro.
Se ti dico che la mia password è "password", e ti dico che ora, l'ho cambiata. Proverai tutte le possibilità come "p4ssword", "passw0rd", etc etc etc? Certo che no, perché ora può essere "google"!
Da un punto di vista esterno (ovvero senza il leakage del database), le tue uniche opzioni sono le forzanti brute (se il sistema di accesso è stato eseguito correttamente / in sicurezza). Forza brutalmente una password solo sapendo che la vecchia ti ha dato tante possibilità di non conoscere la vecchia password: puoi provare tutte le varianti di "password", ma non è garantito che sia vicino a quella!
Nel caso in cui tu abbia accesso al database, (e supponendo che il database memorizzi gli hash della password, non del testo normale), dovrai affrontare due hash completamente diversi per la stessa password che non ti aiuterà di più.
Perché cambi una password?
Il problema con una piccola modifica è che data la password corrente, trovarne una nuova è molto più semplice.
Dipende dal punto di vista e se sei preoccupato per qualcuno che potrebbe riscoprire la tua password in chiaro.
Dalla definizione di Hashing (di una password di testo non crittografata) piccole modifiche nell'input dovrebbero riflettere grandi cambiamenti nell'output.
Supponiamo che la tua password iniziale sia: mahoney78
Supponi di cambiare la prima lettera e di renderla maiuscola: Mahoney78
Come puoi vedere, è molto diverso.
Quindi, per rispondere chiaramente alla tua domanda: SÌ, è assolutamente ok cambiare solo un carattere, o invertire, perché i criteri di rete non controllano queste cose (questo controllo dovrebbe essere un problema ).
Leggi altre domande sui tag passwords password-policy entropy