Perché tenere traccia delle modifiche della password utente nell'applicazione Web?

Naviga le tue risposte
1

Per qualche ragione, è diventata una pratica comune per i siti web tenere traccia delle modifiche delle password. Siti come Google possono anche dirti quanto tempo fa hai cambiato la tua password. Oltre a ricordarti che " hai cambiato la tua password 10 mesi fa ... " loro vanno avanti e dichiarano " Sei stato tu? Recupera il tuo account "

Qual è il ragionamento dietro questo - sicurezza-saggio? Se un utente malintenzionato è stato in grado di cambiare la tua password 10 mesi fa, è logico che ti consenta di essere in grado di recuperare il tuo account in seguito? Se potessero cambiare la tua password, significa che potrebbero cambiare praticamente tutto ciò che l'utente può utilizzare per recuperare l'account.

Penso che mi manca un punto sul perché i siti debbano tenere traccia delle modifiche alle password degli utenti.

Modifica La suddetta situazione si verifica quando un utente inserisce una password errata che era una volta la sua password. Ad esempio, un sito avrebbe una tabella di parole d'ordine con i seguenti contenuti: 

user_id | password  | changed
---------------------------------
1       | blah      | never
---------------------------------
1       | blah blah | 12.07.2017
---------------------------------
1       | no blah   | 31.01.2017
---------------------------------
2       | blah      | never

Quando l'utente con user_id = 1 tenta di accedere con la password no blah , gli verrà ricordato che ha cambiato la sua password su 31.01.2017 . Ma quando accede con la sua password corrente blah , verrebbe loggato senza problemi.

    
posta Trouble Zero 26.08.2018 - 22:01
fonte

3 risposte

1

I think I am missing a point on why sites need to keep track of user password changes.

Nessun sito web HAS per tenere traccia delle modifiche della password dell'utente. È solo che alcuni lo fanno. Tenere traccia delle modifiche alle password consente diverse cose:

  1. Ricorda all'utente che ha cambiato la sua password. Questo è utile se la password è stata cambiata da qualcun altro. Se non sei tu allora sai che devi cambiarlo subito! (Non devi essere hackerato personalmente per avere la tua password compromessa. Tutto ciò di cui hai bisogno è il riutilizzo della password e un servizio compromesso.)
  2. Ricorda all'utente che ha già utilizzato una password. Questo assicura che tu stia cambiando la tua password per una vera nuova e non usando una password che potresti aver cambiato perché è stata compromessa.
  3. Ricorda all'utente che potrebbe essere il momento di cambiare la sua password.
risposta data 26.09.2018 - 15:00
fonte
1

A volte gli utenti cambiano la loro password e poi dimenticano che hanno cambiato la loro password. Se un utente prova ad accedere con quella che pensano sia la password corretta, forse per abitudine, vede "password errata", assumerà che ha semplicemente scritto male e probabilmente riproverà. Forse continueranno a provare la stessa password un paio di volte fino a quando non abbandoneranno la frustrazione e resetteranno la loro password, o finiranno per bloccarsi dal loro account se questo è qualcosa che il tuo sito fa.

Se, invece, dopo il primo login errato, hai presentato all'utente un messaggio "hey, hai cambiato la password la settimana scorsa", l'utente potrebbe ricordarsi di usare la nuova password invece del vecchio.

Questo è particolarmente utile per il metodo comune, ma completamente insicuro, "usa la stessa password ma incrementa il numero alla fine di ogni mese" per aggirare i criteri di password eccessivamente restrittive con le modifiche periodiche richieste.

    
risposta data 26.09.2018 - 17:58
fonte
0

La modifica di una password non invalida sempre le sessioni esistenti. Un utente malintenzionato che riesce a modificare la password potrebbe lasciare i tuoi dispositivi già registrati. La timeline di dieci mesi è davvero sciocca, ma chiedere ad un utente se una modifica della password è stata intenzionale non è assolutamente irragionevole.

Come menzionato da ThoriumBR, tenere traccia di quanto spesso cambi la tua password a volte sono solo siti che ti ricordano "hey, non l'hai cambiato da un po '...", ma onestamente nella maggior parte dei casi, se usi password sia forti ( non supponibile / prevedibile e troppo lungo per la forza bruta) e unico (non utilizzato su altri siti o servizi), non è necessario cambiare la password a meno che il sito non subisca effettivamente una violazione della sicurezza. Il vecchio consiglio di cambiare le password regolarmente è stato in gran parte superato dal consiglio di usare password estremamente potenti memorizzate in un gestore di password, quindi non è necessario memorizzarle, e in tal caso c'è molto meno valore nella rotazione delle password.

    
risposta data 26.08.2018 - 22:39
fonte

Leggi altre domande sui tag

Da quale specifica proviene Java HostnameVerifier? Un'applicazione avviata dall'utente root ha i privilegi di root?