¿Aceptar las contraseñas antiguas es una mala política?

Navega tus respuestas
2

Esta pregunta está inspirada en una experiencia que tuve hoy con la banca en línea, a continuación. Hace un año abrí una cuenta de depósito en línea. (Sin nombrar al banco, diré que la compañía es actualmente un componente del Dow ; en otras palabras, no es un institución de fly-by-night.) A principios de este mes, lanzaron una interfaz web rediseñada, y hoy fue la primera vez que accedí a mi cuenta desde el rediseño. Accidentalmente usé la misma contraseña que usé cuando originalmente creé la cuenta. Sin embargo, previamente había cambiado mi contraseña. La contraseña anterior no debería haber funcionado, ¡pero funcionó!

Posteriormente, se hizo evidente que habían asociado mi cuenta con información antigua: solicitaron enviar un código de activación a un número de teléfono que abandoné hace mucho tiempo, pero que utilicé al abrir la cuenta. Después de abrir la cuenta, había reemplazado el número de teléfono anterior por uno nuevo además de cambiar la contraseña. Por lo tanto, parecería que el banco volvió a mi información personal desactualizada (es decir, contraseña y número de teléfono).

Las personas a veces cambian su contraseña porque creen que su contraseña anterior puede haber sido comprometida. Pero esta contramedida es ineficaz si la institución sigue aceptando una contraseña antigua.

¿Hay alguna razón para creer que un banco confiable intencionalmente acepta una contraseña antigua?

    
pregunta 25.06.2013 - 01:39
fuente

5 respuestas

5

Bueno, no puedo comentar sobre esta historia de su banco, pero la respuesta a su pregunta general es que es muy estúpido aceptar contraseñas antiguas , porque los usuarios no tienen forma de proteger sus contraseñas. cuenta si su contraseña está comprometida alguna vez.

    
respondido por el Darius Jahandarie 25.06.2013 - 04:03
fuente
1

Es una mala política. La razón por la que las personas cambian las contraseñas es la seguridad, si la contraseña anterior aún funciona; No tiene sentido cambiarlo. ¿Qué pasa si mi contraseña anterior fue revelada a otra persona (puede suceder, especialmente con phishing)? Me gustaría cambiarlo y asegurarme de que la contraseña anterior no sirve para nada.

Una cosa interesante a tener en cuenta es que muchos sitios almacenan contraseñas antiguas. Si bien saber que una pareja no garantiza la propiedad, ciertamente fortalece su posición cuando intenta recuperar una cuenta perdida.

Gmail también almacena contraseñas antiguas. Si ingresa una contraseña antigua dentro de unos pocos meses de haberla cambiado, informa "La última vez que cambió su contraseña hace X días. Si este no era usted, blah blah [enlace a recuperación de cuenta]"

    
respondido por el Manishearth 25.06.2013 - 16:44
fuente
1
  

¿Hay alguna razón para creer que un banco con reputación acepte intencionalmente una contraseña antigua?

La única razón por la que puedo ver que esto ocurra es que tuvieron una falla masiva y tienen que cargar una copia de seguridad. La cosa es que esto rápidamente se vuelve irrazonablemente más viejo que la copia de seguridad utilizada. Deshacer las últimas horas de cambios de contraseña es razonable si hay un error masivo que requiere una restauración. Los días de rehacer (o en este caso, meses o años) no son razonables. Incluso en el peor de los casos, donde no solo necesitan restaurar la base de datos, sino que también se destruyeron sus copias de seguridad recientes, también deberían tener las copias de seguridad almacenadas en una ubicación físicamente separada.

Así que no, incluso en el caso de que necesiten usar una copia de seguridad, todavía no hay justificación para la situación que describe.

    
respondido por el Lawtonfogle 25.06.2013 - 21:28
fuente
0

Se cambia la contraseña de un usuario después de un período de tiempo fijo para mantener la cuenta razonablemente segura si se roban o se filtran las credenciales de autenticación. Por lo tanto, aceptar contraseñas anteriores es una solución insegura y debe evitarse .

Por lo que entendí de la historia, parece un error de implementación del banco, donde se usó una versión antigua de la base de datos en lugar de la más actual.

    
respondido por el Gurzo 25.06.2013 - 16:08
fuente
0

Si bien estoy de acuerdo en que es una mala idea hacerlo, hay una razón por la que se puede permitir la última contraseña en una situación ligeramente diferente. Cuando las cuentas se bloquean por cualquier motivo (demasiadas solicitudes o no se han iniciado sesión en mucho tiempo) y se debe cambiar la contraseña, es posible que solo haya un tiempo determinado para que los usuarios puedan usar la contraseña antigua de la cuenta bloqueada. capaz de cambiarlo. Hay mecanismos como ese, por ejemplo, en AiX ( maxexpired parameters ). Sin embargo, sigue siendo una mala idea, pero pensé que agregaría esta información, ya que esa era la pregunta.

    
respondido por el user857990 26.06.2013 - 11:08
fuente

Lea otras preguntas en las etiquetas

Wifi Detección Cómo prevenir ataques al servidor