Algunos servicios como Google o Facebook me prohíben usar una contraseña que ya se usó para la misma cuenta en el pasado.
Mi pregunta es, si esta contraseña antigua nunca estuvo comprometida (es decir, era demasiado larga para escribir y la cambié por una más corta pero segura), ¿por qué no debería usarla?
Según sus comentarios a las otras respuestas, ahora entiendo mejor su pregunta y su punto es bueno. Considera lo siguiente:
Tienes una cuenta de Gmail con una contraseña suficientemente compleja y has tenido la misma contraseña durante años. Tal vez use un cliente de correo electrónico en casa para revisar y almacenar su correo electrónico, y también use su cliente de teléfono. Estás viajando y pierdes tu teléfono. Usted va a la tienda móvil y obtiene una nueva, y transfieren su número para usted al nuevo teléfono. Al intentar configurar Gmail en su nuevo teléfono, parece que no puede recordar su contraseña de Gmail, por lo que lo restablece mediante la verificación por SMS, y todo está bien, excepto que sabe que su cliente de correo electrónico en casa se está molestando porque sigue fallando para conectar. No es gran cosa; te das cuenta de que tendrás que ingresar la nueva contraseña cuando llegues a casa. Después de parar a tomar un café, tiene un momento de brillantez y de repente recuerda su antigua contraseña de Gmail. Intenta cambiarlo de nuevo al anterior, ¡pero ahora no puedes! Abatido, regresas a tu hotel, te sientas en el sofá y encuentras tu teléfono viejo entre los cojines del asiento. Piensa en ese momento en el que intentabas recordar tu contraseña de Gmail ... "Si solo hubiera podido recordarla, podría haber conservado esa contraseña impresionante. Pero tuve un momento de olvido y ahora que se pierde la buena contraseña ... " Por supuesto, si no hubiera encontrado su teléfono anterior, podría haber querido cambiar la contraseña de todos modos, junto con todas las demás contraseñas que se almacenaron automáticamente en el teléfono.
Entonces, ¿por qué Gmail no le permite reutilizar la contraseña? Porque no tienen forma de saber que has encontrado tu teléfono anterior.
En otras palabras, no saben por qué lo cambió en primer lugar, por lo que simplemente asumen que cambió su contraseña porque accidentalmente tuiteó la antigua al mundo entero, por si acaso.
¿Está seguro de que su contraseña nunca se vio comprometida? Pareces muy seguro de eso ...
El riesgo aquí es que una db de contraseña hash fue robada / filtrada en algún momento en el pasado y los hackers están descifrando las contraseñas lentamente durante un período de años. Además, los usuarios tienden a usar la misma contraseña para varios sitios y cambian la contraseña para todos los sitios aproximadamente al mismo tiempo. Entonces, el hecho de que esa contraseña no se haya comprometido para su cuenta de Facebook en ese momento no significa que no esté vinculado a usted en alguna base de datos de piratas informáticos.
Como ejemplo concreto: haveibeenpwned.com rastrea todas las contraseñas filtradas públicamente asociadas con su dirección de correo electrónico o nombre de usuario. Cualquier pirata informático que intente hackear su cuenta de Facebook hoy primero intentará todas sus contraseñas conocidas anteriores desde cualquier sitio, por lo que al negarse a permitir que los usuarios reutilicen una contraseña antigua, Facebook lo ayuda a protegerse de usted mismo.
Parte de esto es un reflejo de sacudidas: la reutilización de la contraseña está prohibida porque, de lo contrario, los usuarios pueden solucionar fácilmente las políticas que obligan a cambiar la contraseña regularmente. No es que forzar cambios de contraseña realmente mejore la seguridad, pero eso es tradicional.
Lea otras preguntas en las etiquetas passwords password-policy