¿Por qué Facebook se molesta en comparar contraseñas antiguas y nuevas?

Navega tus respuestas
29

Una respuesta a esta pregunta dice que Facebook genera una Un montón de adivinanzas de contraseña para ver si tienen el mismo carácter que una versión anterior de la contraseña.

¿Por qué molestarse? Si un servicio obliga a cada contraseña a tener la longitud y la complejidad suficientes, ¿por qué debería importarle si la contraseña modificada es similar a la contraseña anterior, ya que en teoría cada contraseña es lo suficientemente larga y compleja para cumplir con los requisitos de seguridad? ?

¿La política de Facebook realmente previene algún tipo de ataque en el que los piratas informáticos empiecen a hacer conjeturas de contraseñas complejas largas y luego prueben variaciones menores, o es solo una irritación para los usuarios, evitando que utilicen contraseñas nuevas lo suficientemente buenas?

    
pregunta Witness Protection ID 44583292 19.03.2014 - 05:08
fuente

2 respuestas

47

Debido a que si Facebook puede producir contraseñas similares mediante algoritmos, también lo puede hacer un cracker de contraseñas.

La secuencia podría ser así: Contraseña comprometida - > usuario lo cambia a algo similar - > nueva contraseña comprometida algorítmicamente al intentar contraseñas similares a la conocida anteriormente.

También, imagine un escenario donde una cuenta está siendo específicamente dirigida por un ser humano real. El atacante puede conocer las contraseñas anteriores o tener una idea de lo que podrían haber sido (por ejemplo, la pareja romántica del propietario de la cuenta o algo así). En este caso, es más probable que se adivine una contraseña similar a la anterior.

    
respondido por el Hugh Grigg 葛修远 19.03.2014 - 06:50
fuente
0

Porque los usuarios pueden eludir fácilmente la política de contraseña antigua cambiando un carácter. Como almacena hashes y los hashes cambian drásticamente en pequeños cambios en la fuente, no tiene forma de medir la "distancia" entre diferentes contraseñas de hash.

Ejemplo fácil que he visto en mi vida: has obligado a Alice a usar una contraseña segura formada por letras, números y símbolos, así que aquí está su contraseña 

V@nillaSky2017

Después de 3 meses, es hora de que Alice cambie su contraseña. Mismos criterios

Y la nueva contraseña iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiis ................. 

V@nillaSky2018

#epicfail no hay nada más que comentar

    
respondido por el usr-local-ΕΨΗΕΛΩΝ 25.07.2017 - 10:01
fuente

Lea otras preguntas en las etiquetas

Hacer pruebas contra el servicio web propio alojado en una plataforma de terceros ¿El modo 'ver-fuente' del navegador evita los ataques de secuencias de comandos?