Perché i sistemi di sicurezza non impediscono l'incremento della password?

0

Molti utenti, me compreso, incrementano le ultime cifre di una password quando è necessario cambiarla regolarmente - ad es. 30/60/90 giorni.

Indipendentemente dal fatto che le modifiche forzate delle password siano un controllo di sicurezza efficace, non esiste un modo per identificare password simili e impedire che vengano impostate; e se c'è un modo, perché non viene regolarmente utilizzato?

Ad esempio:

  1. Considera la nuova password (testo normale) e l'hash della password corrente

  2. Identifica le cifre all'inizio o alla fine della nuova password e genera in sequenza 100 variazioni (ad es. Password55 - > Password54, Password53 ecc., Password56, Password57 ecc.) per identificare gli incrementi comuni.

  3. Se uno qualsiasi degli hash risultanti corrisponde all'hash corrente, nega la modifica della password in quanto è troppo simile alla password esistente.

Questa funzione non sembra essere un'impostazione disponibile in Windows (almeno) e sono curioso di capire perché.

Saluti

    
posta Keyvee 07.11.2016 - 22:06
fonte

1 risposta

-1

Immagino che questo sia un indovinato che non vale la pena. Dovresti solo identificare i numeri? Come può? Perché non identificare i personaggi? Se sto impostando la mia password come "secret10", il sistema salverà Hash ("secret10") come hash della mia password e Hash ("secret11"), Hash ("secret12") ... per essere hash, che vorrei non essere autorizzato a utilizzare in futuro. Ma questo sistema si rompe già quando ho impostato la mia password successiva su "Secret11". Il sistema non è in grado di identificare la maiuscola modificata! Non è possibile confrontare gli hash con la minima logica. Poiché anche il minimo cambiamento interromperà l'hash. E se vuoi progettare un sistema sicuro basato su password, è più facile usare gli hash che controllare le modifiche nelle password.

    
risposta data 07.11.2016 - 22:43
fonte

Leggi altre domande sui tag