Esaminare le persone si lamentano di Yahoo costringendo gli utenti a cambiare le loro password . Possiamo vedere che le persone non amano particolarmente cambiare le password (e se li cambiamo regolarmente è discutibile un aumento della sicurezza ). Questi due casi (violazioni di yahoo e modifiche periodiche della password) riguardano il fatto che gli hash delle password sono stati (o potrebbero essere) rubati.
Tuttavia, questo non è l'unico caso in cui è consigliabile cambiare una password. L'altro caso è hijacking di sessione .
Supponendo un'applicazione in rete e multisessione (ad esempio da divisioni diverse allo stesso tempo), quando un utente sospetta che la sua sessione ci consiglia spesso di cambiare la sua password . Questo ha senso in un certo senso perché OWASP sostiene che tutte le sessioni correnti dovrebbero essere invalidate al cambio della password . Inoltre, poiché i token di sessione sono spesso derivati dall'hash della password.
Invece di consigliare a questo utente di cambiare la sua password, non possiamo semplicemente riutilizzare la stessa password e semplicemente re-saltarla?
Guardando il vecchio Would re- salare le password regolarmente inserendo / diminuendo la sicurezza? Sto pensando se ci siano degli svantaggi nel consentire a un utente di mantenere i propri passowrd. Per eseguire il re-salting abbiamo bisogno che l'utente ci dia la password, quindi un dirottatore non sarebbe in grado di farlo.
Quindi sì, è un vantaggio di usabilità per un utente che può continuare a usare la stessa password ma:
- Eseguendo il re-salting, ciò sarebbe più vulnerabile (ovvero una semplice modifica della password) a un utente malintenzionato che conosce parte dell'hash (ad esempio dal token di sessione)? (Credo di no)
- Evitare qualsiasi informazione dall'hash della password che sfugge al token di sessione lo attenuerebbe?
- Fornire invece un elenco di sessioni aperte all'utente e consentirgli di disabilitarle sarebbe meglio? (Credo che non da quando l'hacker potrebbe farlo anche lui)