È prassi comune in molti sistemi mantenere una cronologia delle password per diversi motivi (principalmente, impedire all'utente di riutilizzarli).
Le risposte come questo suggeriscono che di solito sono mantenute nello stesso formato (che ha senso, per controllarlo facilmente sul cambio della password).
Le risposte come questo suggeriscono che sono spesso conservate nel stesso database sistema.
Quindi questo mi fa meravigliare: questo non fa una breccia nel database molto più grave, dal momento che un utente malintenzionato avrebbe più password associate a quell'utente / email che possono provare ad accedere ad altri sistemi (dal momento che molto di persone hanno 3-4 password che riutilizzano)?
In alternativa, se disponi di un algoritmo mentale per le password, potrebbe essere dedotto (non sono sicuro se qualcuno vorrebbe disturbarlo, ma per un account di alto profilo, forse) dai molteplici esempi.
Esiste effettivamente un rischio aggiuntivo? Questo rischio è un problema? In tal caso, esistono le migliori pratiche per attenuarlo?