¿Por qué Gmail solicitaría la última contraseña que recuerdo? [cerrado]

Navega tus respuestas
2

Ayer intenté recuperar la contraseña de una cuenta de Gmail que he creado hace unos meses y durante el proceso me pidió la última contraseña que recuerdo. ¿Por qué pediría eso?

  • Estoy 100% seguro de haber usado solo UNA contraseña para la cuenta, por lo que no tiene sentido pedirme la última contraseña que usé en caso de que estuvieran tratando de verificar mi identidad usando contraseñas antiguas
  • Supongo que Gmail no almacena las contraseñas en texto claro, por lo que dudo mucho que sea útil para ellos si recuerdo mi contraseña como Password123 en lugar de la correcta password1234 , ya que tienen hashes totalmente diferentes.
pregunta Ulkoma 07.04.2015 - 10:24
fuente

2 respuestas

8

Parece que GMail conoce los hashes de contraseñas anteriores para los usuarios. Si bien esto no es cierto en su caso, tratarlo como un caso especial costaría tiempo a los desarrolladores y le brindaría a los atacantes una pista sobre sus hábitos de contraseña. Es bueno que GMail no anuncie que nunca ha cambiado su contraseña.

    
respondido por el daramarak 07.04.2015 - 11:09
fuente
3

Más allá de lo obvio, "no lo hagas más complejo", hay muchas razones por las que un proceso de recuperación de contraseña no debería intentar adaptar el desafío a los datos conocidos:

  • Es una forma de divulgación de información (en su caso, indicaría que la contraseña no se ha cambiado desde que se creó)
  • En realidad, no cambia el resultado del desafío de manera significativa.
respondido por el Stephane 07.04.2015 - 11:18
fuente

Lea otras preguntas en las etiquetas

¿Podría una CA raíz comprometida hacerse pasar por algún certificado SSL? ¿Puedo hash inicialmente las contraseñas con SHA en lugar de hacerlas con bcrypt para desacoplar las solicitudes de las funciones de cifrado lento?