Cuando pido cambiar mi contraseña, algunas veces Google no permite contraseñas idénticas a las que he usado antes. ¿Hay alguna razón por la que esto sucede?
Cuando pido cambiar mi contraseña, algunas veces Google no permite contraseñas idénticas a las que he usado antes. ¿Hay alguna razón por la que esto sucede?
Para ampliar lo que dijo @ QuBit5, es una práctica bastante común almacenar no solo la clave hash / derivada de la contraseña actual, sino también las últimas contraseñas de X (donde X varía de 1 a infinito, pero generalmente es menos de 10). Cuando el usuario intenta cambiar su contraseña, o solicita un restablecimiento de la contraseña, no se les permite reutilizar una de sus contraseñas antiguas en el supuesto de que es más probable que las contraseñas antiguas (o perdidas anteriormente) hayan sido comprometidas por un atacante, y por lo tanto no debe ser usado de nuevo. El software (en el servidor) ejecuta la contraseña a través de su función de derivación de clave / hash, y compara el valor resultante con los valores de las contraseñas antiguas del usuario. El cambio / restablecimiento de la contraseña solo se realiza correctamente si la nueva contraseña no se ha utilizado anteriormente.
Este tipo de esquema generalmente se empareja con un vencimiento obligatorio de la contraseña, sobre la base de que el uso de la misma contraseña por mucho tiempo hace que sea más probable que se haya comprometido. Obviamente, tal esquema podría ser pasado por alto por los usuarios cambiando su contraseña a una temporal y luego cambiándola de inmediato a su contraseña a largo plazo, de ahí la necesidad de recordar los valores antiguos. Algunas veces también se usa después de un compromiso de seguridad que puede haber dado como resultado el acceso a los datos de autenticación, sobre la base de que todas las contraseñas en uso en el momento del compromiso deben asumirse como comprometidas y nunca deben usarse nuevamente.
Estos sitios almacenan sus contraseñas anteriores en algunas . Podría ser en texto plano (es decir, la contraseña tal como es) O un hash (por ejemplo, SHA256 o mejor ) de la misma.
El almacenamiento de contraseñas de texto sin formato es un mal diseño debido a la seguridad, ya que deja su contraseña en la base de datos, que puede reutilizarse tal como está si la base de datos está comprometida.
Lea otras preguntas en las etiquetas passwords