Su Steam, il client di gioco, ho questa abitudine di creare più account "smurf".
Ho una password univoca generata a caso e ho deciso di utilizzare la stessa password per tutti i miei account multipli. Sul mio quinto account o giù di lì, Steam ha iniziato a impedirmi di usare di nuovo la stessa password.
In che modo Steam sa se è già stata utilizzata una password senza compromettere la sicurezza?
Questo è male.
Stanno memorizzando la password:
* in un salt modulo (che è male),
* in forma reversibile crittografata, da cui possono riprodurre il testo in chiaro (questo è peggio),
* in forma non criptata (questa è la peggiore).
Il modo preferito per memorizzare le password è in forma salata. Questo è esplicitamente fatto per evitare che testi in chiaro identici finiscano come identici testi cifrati. Quindi non possono usare i sali.
Non credo che si possa dare una risposta autorevole a questo. Dovrebbe essere qualcuno che lavora con le parti rilevanti del software, e le probabilità sono che l'algoritmo esatto sia deliberatamente tenuto segreto. Tuttavia, possiamo offrire più speculazioni fondate .
Oltre a memorizzare la password più o meno non protetta come ipotizzato da StackzOfZtuff c'è un'altra possibilità che appare plausibile dato quello che sappiamo.
Steam è un servizio a pagamento. Ciò significa che hanno determinate informazioni sulla persona dietro l'account utente. Ad esempio, i dettagli di pagamento, che difficilmente saranno mai duplicati tra individui che non sono strettamente collegati tra di loro (membri della famiglia nella stessa famiglia, per esempio).
Ciò porta alla ovvia possibilità di prendere alcune di queste informazioni personali e di usarle in qualche modo come sale per l'hashing della password dell'account. Avendo il sale fissato su base individuale, piuttosto che su base per account, diventa banalmente possibile archiviare le password in modo sicuro (eseguendone correttamente la salatura e l'hashing) pur fornendo la possibilità di rilevare quando l'esatto la stessa password (in base ai criteri utilizzati dal servizio) viene utilizzata da più account. Se dovessi avere l'esigenza di essere in grado di rilevare se la stessa password è utilizzata dalla stessa persona per più account, è certamente il modo in cui affronterei il problema. Ricorda che il sale non deve essere segreto per svolgere il suo ruolo di miglioramento della sicurezza del sistema.
Ovviamente, questo non dice nulla sul perché tu stia usando la stessa password generata casualmente per più account, negando gran parte del vantaggio di usare password casuali mentre fornendo molto poco in termini di vantaggi rispetto all'utilizzo di password casuali diverse per ogni account ...
C'è un altro modo per farlo che non è stato menzionato finora che mi sembra più sicuro. Mi piace pensare che una società così grande non archivierebbe le nostre password in nessuno dei modi menzionati da StackzofZtuff ma non si sa mai.
La mia proposta è che quando si tenta di iscriversi, trovano tutti gli altri account con alcune informazioni identiche di identificazione personale nel loro database (lo stesso indirizzo e-mail o indirizzo IP, ad esempio). Per ciascuno di questi account potenzialmente corrispondenti, hanno cancellato la password per il tuo nuovo account con lo stesso sale dell'account su cui stanno verificando. Se gli hash sono uguali, sanno che entrambi gli account usano la stessa password e incrementano alcuni counter. Dopo aver confrontato il tuo account con tutti gli altri account con informazioni personali corrispondenti, controlla semplicemente il contatore per vedere se hai superato il numero massimo di account con la stessa password.
Con questo approccio la tua password potrebbe ancora essere archiviata in modo sicuro se hanno cancellato la tua password in modo casuale alla fine. Questo non dovrebbe essere visto come un buon modo di fare le cose, ma perché se un hacker ha lo stesso pezzo di informazioni di identificazione personale potrebbe teoricamente creare un sacco di account con password comuni e le informazioni di identificazione. Se Steam rifiuta le loro richieste dopo 4 iscrizioni invece di 5, saprà di aver indovinato la tua password.