Backgound
Al leer este artículo en BBC News de fecha 29 de marzo de 2018, la empresa en cuestión sufrió una violación de datos. y hasta 150 millones de nombres de usuario, direcciones de correo electrónico y contraseñas de cuentas fueron potencialmente robados.
La empresa declara:
las contraseñas fueron protegidas por un fuerte cifrado [BCrypt]
Y una voz independiente [Troy Hunt] fue citada diciendo:
Para su crédito, ... el método de almacenamiento de contraseñas de [la empresa] es bastante sólido.
Tema
La compañía declara también que:
La compañía requerirá que los usuarios cambien sus contraseñas y les está instando a que lo hagan de inmediato.
Pregunta
Sin embargo; si una empresa utiliza contraseñas de seguridad y contraseñas "robustas"; ¿hay una necesidad de seguridad para cambiar estos hashes?
Notas
Me doy cuenta de que la llamada para cambiar las contraseñas es principalmente un ejercicio de relaciones públicas y que algunas personas consultarán / negativas si la compañía no alentó a sus usuarios a cambiar sus contraseñas luego de una infracción; Pero solo desde el punto de vista técnico de seguridad, no puedo ver que haya necesidad de cambiar la contraseña siempre que el método de encriptación sea bastante fuerte y resistente frente a los intentos de fuerza bruta, que parece ser BCRYPT.