¿Fortalece o debilita la seguridad si uno no puede cambiar la contraseña que usó antes?

5

Encontré un servicio www que permite cambiar las contraseñas, pero no está permitida la contraseña a la contraseña anterior que usé antes. ¿Esto tiene algún impacto en la seguridad? Quiero decir, la gente generará contraseñas a partir de una lista donde la siguiente contraseña se pueda adivinar fácilmente, como password1, password2, ... Creo que esto podría debilitar la seguridad si un hacker obtiene contraseñas anteriores e intenta encontrar algún patrón a partir de las contraseñas. / p>     

pregunta layman 30.10.2017 - 20:54
fuente

3 respuestas

4

El impacto es indefinido. La elección de contraseñas que tienen una secuencia discernible es un problema seguro en los sistemas que requieren cambios periódicos de contraseñas y no permite su reutilización, sin embargo, no conozco ninguna evidencia de que También es un problema el sistema que simplemente permite cambios de contraseña y no permite la reutilización de la contraseña.

Como con cualquier sistema, los beneficios e inconvenientes ofrecen compensaciones. Ciertamente hay inconvenientes, como tener que almacenar los hashes de contraseñas antiguas que podrían ser robados y forzados de forma brutal junto con los hashes actuales. También hay beneficios teóricos potenciales en el sentido de que si las contraseñas utilizadas anteriormente que se han comprendido no se pueden reutilizar, no pueden proporcionar a un usuario malintencionado ventanas de ataque adicionales.

En última instancia, el impacto de este único control es mínimo. Es poco probable que ayude o dañe la seguridad de una manera significativa y significativa. Es mucho más importante que los usuarios generen contraseñas seguras y únicas, no las reutilicen en los sistemas y las cambien cuando se sospecha un compromiso.

    
respondido por el Xander 30.10.2017 - 21:07
fuente
2

Yo diría que refuerza la seguridad (al menos un poco).

¿Por qué? Porque si usa la herramienta "cambiar contraseña", quiere cambiar la contraseña. Por lo tanto, "cambiar" la contraseña a la contraseña que tenía antes no es un comportamiento útil de la aplicación.

Mientras solo verifique la nueva contraseña con la última contraseña (y no la compare con la contraseña anterior ninguna ), esta solución no tiene inconvenientes.

    
respondido por el Lukas 30.10.2017 - 22:37
fuente
-4

Por qué el bloqueo de la reutilización es malo en la práctica:

  • El usuario sigue teniendo que generar nuevos pases
  • El usuario se queda sin pases fáciles de memorizar y termina usando galimatías
  • El usuario no puede recordar el engaño y lo escribe
  • Alguien lo ve y desliza la cuenta del usuario
respondido por el user1258361 02.11.2017 - 02:39
fuente

Lea otras preguntas en las etiquetas