(Il nome è vago di proposito perché non sono del tutto sicuro di quanto sia grave il problema o se sia ancora noto e non voglio perdere accidentalmente qualche tipo di cosa principale di tipo di violazione)
Scenario: si modifica la password per l'account e-mail di Gmail / Yahoo sul computer utilizzando il sito Web. Poi vai al tuo iPhone e prova a sollevare l'app di posta integrata. In qualche modo funziona, ma solo con la vecchia password. Provi a cancellare completamente l'account dal telefono e poi lo riaccedi e lo configura. Niente funziona. La vecchia password rimane loggata. Così provi questo. Osservi che ci vogliono circa 1.5 - 2 settimane prima che la modifica della password abbia effetto. Sfortunatamente non hai provato ad accedere con un nuovo dispositivo per vedere cosa sarebbe successo, ma è facile indovinare cosa potrebbe accadere .
Quindi ora tutto questo si riduce alla radice di tutto: ciò che effettivamente causa questo e è un problema di sicurezza ? So di avere più account nel corso degli anni e alcuni che mi richiedono di cambiare regolarmente le password di regola perché non si trattava di un'e-mail personale che si verifica quasi sempre. So anche che non è specificamente me o il mio telefono che è la causa. Parenti multipli mi hanno chiesto aiuto chiedendomi perché non potevano accedere. Ho detto loro di provare la vecchia password e hanno detto che funzionava. Quindi non è sicuramente locale solo per me o qualcosa che faccio con il mio telefono. Non ho un telefono casuale in giro per testare, quindi ovviamente non posso determinare se ciò accadrebbe con telefoni che non sono mai stati registrati in precedenza. Tuttavia, tutto questo è un problema ovvio se una password è stata mai compromessa e una buona regola di sicurezza è presumere che qualsiasi exploit come questo che qualsiasi Joe casuale inciampi (e debba usarlo come regola empirica per non essere disconnesso per due settimane) è già stato trovato e viene sfruttato dagli hacker.
Ora so che questo è possibile essere una cosa in atto a causa di un problema tecnico, in quanto vi è evidenza di password passate salvate in alcuni sistemi per altri motivi. Google ha utilizzato per salvare le ultime 100 password per una funzione di sicurezza . L'ho trovato mentre cercavo di vedere se questo fosse menzionato o documentato ovunque. Non riuscivo a trovarlo e questo è più preoccupante. Se nessuno è a conoscenza di questo problema, allora è più facile sfruttarlo. Avere accesso completo a prescindere dalle modifiche della password all'email di qualcuno per circa 2 settimane non è sicuramente qualcosa di cui abbiamo bisogno per essere prevalenti. Ad ogni modo sono per lo più curioso su ciò che provoca questo se qualcuno è a conoscenza, se questo è stato documentato, e quale sia effettivamente l'estensione di questo problema. Ad esempio, un rispondente che sta verificando per vedere se un telefono che non è mai stato collegato a una e-mail può accedere utilizzando la vecchia password è probabilmente fondamentale per sapere qui. È la differenza tra un fastidio minore e ... un importante problema di sicurezza.
Servizi confermati che conosco personalmente per avere il bug:
Gmail Yahoo (Aggiungerò di più se qualche rispondente ne confermerà altri)