Es una práctica común en muchos sistemas mantener un historial de contraseñas por diferentes motivos (principalmente, evitar que el usuario los reutilice).
Las respuestas como esta sugieren que generalmente se mantienen en el mismo formato (lo cual tiene sentido, para verificar fácilmente el cambio de contraseña).
Las respuestas como esta sugieren que a menudo se mantienen en el misma base de datos sistema.
Esto me hace preguntarme: ¿esto no hace que la violación de la base de datos sea mucho peor, ya que un atacante tendría múltiples contraseñas asociadas a ese usuario / correo electrónico que pueden intentar iniciar sesión en otros sistemas (ya que muchos de las personas tienen 3-4 contraseñas que reutilizan)?
Alternativamente, si tiene un algoritmo mental para las contraseñas, podría deducirse (no estoy seguro de que alguien se moleste, pero tal vez para una cuenta de alto perfil) de las múltiples muestras.
¿Existe realmente un riesgo adicional? ¿Es este riesgo una preocupación? En cuyo caso, ¿existen mejores prácticas para mitigarla?