Alcuni servizi come Google o Facebook non mi consentono di utilizzare una password che è già stata utilizzata per lo stesso account in passato.
La mia domanda è, se questa vecchia password non è mai stata compromessa (cioè era troppo lungo per digitare, e ho cambiato per uno più breve ma sicuro), perché non dovrei usarlo?
Sulla base dei tuoi commenti alle altre risposte, capisco meglio la tua domanda ora, e il tuo punto è buono. Considera quanto segue:
Hai un account Gmail con una password sufficientemente complessa e hai la stessa password da anni. Forse usi un client di posta elettronica a casa per controllare e archiviare la tua email, e usi anche il tuo client telefonico. Stai viaggiando e perdi il telefono. Vai al negozio di telefonia mobile e ne ricevi uno nuovo e trasferiscono il tuo numero al nuovo telefono. Mentre provi a configurare Gmail sul tuo nuovo telefono, sembra che non ricordi la tua password di Gmail, quindi la reimposti utilizzando la verifica via SMS, e tutto va bene, tranne che sai che il tuo client di posta elettronica a casa si sta annoiando perché continua a non funzionare per connettere. Non è un grosso problema; ti rendi conto che dovrai inserire la nuova password quando arrivi a casa. Dopo esserti fermato per un caffè, hai un momento di genialità e all'improvviso ti ricordi la tua vecchia password di Gmail. Provi a cambiarlo a quello vecchio ma ora non puoi! Sconsolato, torni al tuo hotel, siediti sul divano e trova il tuo vecchio telefono tra i cuscini del sedile. Ripensi a quel momento in cui cercavi di ricordare la tua password di Gmail ... "Se solo fossi riuscito a ricordarlo, avrei potuto mantenere quella password fantastica, ma ho avuto un momento di dimenticanza e ora che la buona password è sprecata ... " Ovviamente, se non avessi trovato il tuo vecchio telefono, avresti potuto voler cambiare comunque la password, insieme a tutte le altre password che sono state automaticamente memorizzate sul telefono.
Quindi perché Gmail non ti consente di riutilizzare la password? Perché non hanno modo di sapere che hai trovato il tuo vecchio telefono.
In altre parole, non sanno perché l'hai cambiato in primo luogo, quindi presumono semplicemente che tu abbia cambiato la tua password perché hai twittato accidentalmente il tuo vecchio in tutto il mondo, per ogni evenienza.
Parte di esso è un riflesso idiota - il riutilizzo della password è vietato perché altrimenti gli utenti possono facilmente aggirare le policy che impongono modifiche regolari alle password. Non è che forzare le modifiche delle password migliora davvero la sicurezza, ma questo è tradizionale.
Sai per certo che la tua password non è mai stata compromessa? Sembri terribilmente sicuro di quello ...
Il rischio qui è che una password hash db è stata rubata / trapelata ad un certo punto nel passato e gli hacker stanno lentamente violando le password per un periodo di anni. Inoltre, gli utenti tendono a utilizzare la stessa password per più siti e a modificare la password per tutti i siti nello stesso periodo. Quindi, solo perché quella password non è stata compromessa per il tuo account Facebook al momento, non significa che non sia collegato a te in qualche database di hacker da qualche parte.
Come esempio concreto: haibeenpwned.com tiene traccia di tutte le pubblicamente password trapelate associate al tuo indirizzo email o nome utente. Tutti gli hacker che tentano di hackerare il tuo account Facebook oggi tenteranno prima tutte le tue password precedenti da qualsiasi sito, quindi rifiutando di consentire agli utenti di riutilizzare una vecchia password, Facebook ti aiuterà a proteggerti da te.
Leggi altre domande sui tag passwords password-policy