Tutte le applicazioni Web implementano una funzione di sicurezza che memorizza le password storiche? [duplicare]

0

Oltre a È sicuro memorizzare una cronologia hash delle password per impedire all'utente di mantenere ripetutamente la stessa password in alcuni casi? .

Facebook e altre società stanno memorizzando password storiche degli utenti. Quando si desidera modificare una password con una password utilizzata in precedenza, viene respinta. Questo mi sembra auspicabile perché una password può essere trapelata (in combinazione con un nome utente o un indirizzo e-mail) e quella combinazione potrebbe essere diventata insicura.

Tuttavia, mi chiedo se sia desiderabile che aziende come Facebook memorizzino tutte le nostre password storiche (si spera strongmente hash, salate e allungate e non crittografate come una volta Adobe).

In breve:

  1. Tutte le applicazioni Web dovrebbero implementare tale funzione di sicurezza?
  2. È auspicabile che le aziende memorizzino le nostre password storiche?
  3. Per quanto tempo è consentito archiviare / archiviare tali informazioni o quante password utilizzate di recente sono consentite o raccomandate per la memorizzazione?
posta Bob Ortiz 24.06.2016 - 11:37
fonte

1 risposta

2

Per rispondere alle tue domande:

Should all web applications implement such a security feature?

Questa è solo un'altra buona funzione di sicurezza per aiutare l'utente in modo che se l'applicazione può permettersi (risorse non finanziarie) di averlo impiantato nel proprio sistema, non c'è motivo di non farlo.

Is it desirable that companies store our historical passwords?

Poiché la maggior parte degli utenti ai nostri giorni non capisce l'importanza di non avere la stessa password aggiunta con 123 quando si cambia la password, è importante obbligarli a cambiare la password in qualcosa di diverso, quindi aumentare la sicurezza.

How long are you allowed to store/archive such information or how many recently used passwords are allowed or recommended to store?

Sempre. Perché dico questo?

Se un utente malintenzionato vuole hackerare un utente specifico, cercherà OSint per l'utente dappertutto e potrebbe persino provare una password utilizzata anni prima dallo stesso utente. E poiché gli utenti tendono a utilizzare sempre le stesse password, questo non va bene.

    
risposta data 24.06.2016 - 12:30
fonte