Al cambiar una contraseña, ¿qué tan importante es tener una contraseña significativamente diferente? Por ejemplo, ¿es malo revertir la secuencia de la contraseña anterior para crear una nueva o cambiar algunos números?
Ambas respuestas actuales tienen partes interesantes y se completan unas a otras, he aquí por qué:
@curiousguy es verdad cuando dice:
¿Por qué cambias una contraseña?
porque te dijeron que lo hicieras o para defenderse de alguien que conoce su contraseña actual.
Y @alcor es cierto cuando dice:
Supongamos que su contraseña inicial es: mahoney78
Tu contraseña sha1-hashed es: 98d7a3b353d3cf5c374fbc0c14b7ed503c674a7d Supongamos que cambia la primera letra y la convierte en mayúscula: Mahoney78
Su contraseña de hash-hashed es: c13fee55c4f91c0c6dadda8e7a2751955408b602
Como puedes ver, es muy diferente.
El punto importante que se debe recordar aquí es que, como se indicó anteriormente, cambia su contraseña cuando se le indica o porque otra persona conoce su contraseña.
Si te digo que mi contraseña es "contraseña", y te digo que ahora, la he cambiado. ¿Probarás todas las posibilidades como "p4ssword", "passw0rd", etc, etc, etc.? Por supuesto que no, porque ahora puede ser "google"!
Desde un punto de vista externo (es decir, sin la base de datos filtrada), sus únicas opciones son forzadas brutas (si el sistema de inicio de sesión se realizó correctamente / de forma segura). Brute forzando una contraseña solo con saber que la anterior le dio tantas posibilidades como no saber la contraseña anterior: puede probar todas las variantes de "contraseña", ¡pero no se garantiza que esté cerca de eso!
En caso de que tenga acceso a la base de datos, (y suponiendo que la base de datos almacene hashes de contraseña, no texto sin formato), se enfrentarán a dos hashes completamente diferentes para la misma contraseña que no le ayudará más.
¿Por qué cambias una contraseña?
El problema con un pequeño cambio es que, dada la contraseña actual, encontrar la nueva es mucho más fácil.
Depende del punto de vista, y si está preocupado por alguien que podría redescubrir su contraseña de texto sin cifrar.
Por la definición de Hashing (de una contraseña de texto simple), los pequeños cambios en la entrada deberían reflejar grandes cambios en la salida.
Supongamos que su contraseña inicial es: mahoney78
Supongamos que cambia la primera letra y la convierte en mayúscula: Mahoney78
Como puedes ver, es muy diferente.
Entonces, para responder claramente a su pregunta: SÍ, está absolutamente bien cambiar solo un carácter, o revertirlo, porque las políticas de la red no verifican estas cosas (esta comprobación debería ser un problema ).
Lea otras preguntas en las etiquetas passwords password-policy entropy