¿Cuál es el propósito de confirmar la contraseña antigua para crear una contraseña nueva?

Navega tus respuestas
89

Supongamos que alguien robó mi contraseña, él / ella puede cambiarla fácilmente confirmando la contraseña anterior.

Por lo tanto, tengo curiosidad por saber por qué necesitamos ese paso y cuál es el propósito de usar la confirmación de contraseña anterior.

    
pregunta ronaldtgi 15.06.2017 - 11:33
fuente

5 respuestas

335

Si has iniciado sesión y me siento en tu computadora, puedo bloquearte tu cuenta y transferir la propiedad a mí mismo.

    
respondido por el schroeder 15.06.2017 - 11:36
fuente
135

Dos razones principales:

  1. Si su sesión se ve comprometida (por ejemplo, si deja la computadora y alguien más salta, o si existe una vulnerabilidad de compromiso de sesión remota), evita que otra persona cambie la contraseña, lo que le impide acceder a su propia cuenta.
  2. Si está aplicando un cambio de contraseña, puede verificar que las contraseñas antigua y nueva no coincidan, sin necesidad de almacenar la contraseña antigua en una forma recuperable. Puede verificarla y luego verificar que la nueva no esté No es lo mismo, incluso con hashes de contraseña totalmente salados. Si bien puede verificar las coincidencias exactas solo con el hash, no permite verificaciones como "asegurarse de que la nueva contraseña no sea la contraseña antigua con el último dígito incrementado en uno", que a veces requieren aplicaciones más sensibles
respondido por el Matthew 15.06.2017 - 11:38
fuente
90

Para aumentar las demás respuestas, agregaré para confirmar que el teclado funciona como lo desea el usuario.

El bloqueo de mayúsculas puede invertir el caso, y el bloqueo numérico puede cambiar si se escribe, por ejemplo. un "4" en el teclado moverá el cursor a la izquierda. Algunas interfaces muestran una advertencia, pero muchas no.

La mayoría de los sistemas operativos tienen distribuciones de teclado de software. Poder escribir correctamente su contraseña anterior es una buena evidencia de que está intentando usar el diseño actual.

También he tenido teclas individuales que dejan de funcionar, lo que causa frustración al resolver los problemas por los que no puedes iniciar sesión desde otro teclado.

    
respondido por el Spencer Joplin 15.06.2017 - 23:23
fuente
9

Creo que confirmar la contraseña anterior no le ayuda a proteger su cuenta en caso de que la haya perdido. Pero tiene sentido cuando nadie ha robado su contraseña, porque se asegura de que usted sea el único que puede cambiar su contraseña (porque solo usted conoce su contraseña). Por ejemplo, nadie conoce su contraseña de Facebook, pero ya ha iniciado sesión en Facebook con su cuenta en su teléfono celular, y luego su amigo toma prestado su teléfono. Si él / ella quiere cambiar su contraseña, es imposible sin saber su contraseña actual.

    
respondido por el Sarah G. 15.06.2017 - 11:51
fuente
1

Es para ayudarte a mantener la cuenta contigo mismo.

Algunos escenarios

  1. Alguien ha robado su cookie a través de un middleware o por algún otro método, luego, si el sitio no le solicitó la contraseña anterior, puede cambiar la Contraseña y el correo electrónico de recuperación y entonces la cuenta ya no te pertenece.

  2. Si alguien tiene acceso a su sistema en el que inició sesión, puede cambiar la contraseña y luego recuperar el correo electrónico y luego la cuenta ya no le pertenece.

respondido por el i-- 20.06.2017 - 10:36
fuente

Lea otras preguntas en las etiquetas

¿Por qué seguimos usando las teclas para arrancar autos? ¿Por qué no contraseñas? ECDSA vs ECDH vs Ed25519 vs Curve25519