¿Fortalece o debilita la seguridad si uno no puede cambiar la contraseña que usó antes?

El impacto es indefinido. La elección de contraseñas que tienen una secuencia discernible es un problema seguro en los sistemas que requieren cambios periódicos de contraseñas y no permite su reutilización, sin embargo, no conozco ninguna evidencia de que También es un problema el sistema que simplemente permite cambios de contraseña y no permite la reutilización de la contraseña.

Como con cualquier sistema, los beneficios e inconvenientes ofrecen compensaciones. Ciertamente hay inconvenientes, como tener que almacenar los hashes de contraseñas antiguas que podrían ser robados y forzados de forma brutal junto con los hashes actuales. También hay beneficios teóricos potenciales en el sentido de que si las contraseñas utilizadas anteriormente que se han comprendido no se pueden reutilizar, no pueden proporcionar a un usuario malintencionado ventanas de ataque adicionales.

En última instancia, el impacto de este único control es mínimo. Es poco probable que ayude o dañe la seguridad de una manera significativa y significativa. Es mucho más importante que los usuarios generen contraseñas seguras y únicas, no las reutilicen en los sistemas y las cambien cuando se sospecha un compromiso.

Yo diría que refuerza la seguridad (al menos un poco).

¿Por qué? Porque si usa la herramienta "cambiar contraseña", quiere cambiar la contraseña. Por lo tanto, "cambiar" la contraseña a la contraseña que tenía antes no es un comportamiento útil de la aplicación.

Mientras solo verifique la nueva contraseña con la última contraseña (y no la compare con la contraseña anterior ninguna ), esta solución no tiene inconvenientes.

Por qué el bloqueo de la reutilización es malo en la práctica:

• El usuario sigue teniendo que generar nuevos pases
• El usuario se queda sin pases fáciles de memorizar y termina usando galimatías
• El usuario no puede recordar el engaño y lo escribe
• Alguien lo ve y desliza la cuenta del usuario