En Steam, el cliente de juegos, tengo la costumbre de crear varias cuentas "smurf".
Tengo una contraseña única generada aleatoriamente y decidí usar la misma contraseña para todas mis cuentas múltiples. En mi quinta cuenta, Steam ha comenzado a evitar que vuelva a usar la misma contraseña.
¿Cómo sabe Steam si una contraseña se ha usado antes sin comprometer mi seguridad?
Esto es malo.
O bien están almacenando la contraseña:
* en un formulario de salt (que es malo),
* en forma reversible encriptada, desde la cual pueden reproducir el texto plano (esto es peor),
* en forma sin cifrar (esto es lo peor).
La forma preferida de almacenar contraseñas es en forma salada. Esto se hace explícitamente para evitar que los colores idénticos se vuelvan como textos cifrados idénticos. Así que no pueden estar usando sales.
No creo que se pueda dar una respuesta autorizada a esto. Tendría que ser alguien que trabaje con las partes relevantes del software, y lo más probable es que el algoritmo exacto se mantenga deliberadamente en secreto. Sin embargo, podemos ofrecer más o menos especulación bien fundada .
Además de almacenar la contraseña con más o menos seguridad como se especula en StackzOfZtuff , existe otra posibilidad que aparece plausible dado lo que sabemos.
Steam es un servicio de pago. Esto significa que tienen cierta información sobre la persona detrás de la cuenta de usuario. Por ejemplo, los detalles de pago, que probablemente no se duplicarán entre personas que no están estrechamente relacionadas entre sí (miembros de la familia en el mismo hogar, por ejemplo).
Esto lleva a la posibilidad obvia de que estén tomando parte de esa información personal y la estén usando de alguna manera como una sal para marcar la contraseña de la cuenta. Al tener la sal fijada por persona, en lugar de por cuenta, es posible almacenar las contraseñas de forma segura (al salado y hash de forma adecuada) al mismo tiempo que proporciona la capacidad de detectar cuando el valor exacto. Múltiples cuentas utilizan la misma contraseña (según el criterio que utilice el servicio). Si me enfrentara a un requisito para poder detectar si la misma persona utiliza la misma contraseña para varias cuentas, es así como abordaré el problema. Recuerde que la sal no tiene que ser secreta para cumplir su función de mejorar la seguridad del sistema.
Por supuesto, eso no dice nada sobre por qué usted está utilizando la misma contraseña generada de forma aleatoria para varias cuentas, negando gran parte de la ventaja de usar contraseñas aleatorias mientras ofrece muy poco en términos de ventajas sobre el uso de diferentes contraseñas aleatorias para cada cuenta ...
Hay otra forma de hacer esto que no se ha mencionado hasta ahora que me parece más segura. Me gusta pensar que una empresa tan grande no almacenaría nuestras contraseñas de ninguna de las formas mencionadas por StackzofZtuff, pero nunca se sabe.
Mi propuesta es que cuando intente registrarse, encuentren todas las otras cuentas con información idéntica de identificación personal en su base de datos (la misma dirección de correo electrónico o dirección IP, por ejemplo). Para cada una de estas cuentas potencialmente coincidentes, contienen la contraseña de su nueva cuenta con el mismo valor que la cuenta con la que están verificando. Si los hashes son los mismos, saben que ambas cuentas usan la misma contraseña e incrementan algún contador. Una vez que hayan comparado su cuenta, todas las demás cuentas con información personal coincidente, simplemente verifican el contador para ver si ha excedido el número máximo de cuentas con la misma contraseña.
Con este enfoque, su contraseña aún podría almacenarse de manera segura si le dan al usuario una sal aleatoria adecuada al final. Sin embargo, esto no debe considerarse como una buena manera de hacer las cosas, ya que si un pirata informático tiene la misma información de identificación personal, en teoría podría crear un montón de cuentas con contraseñas comunes y su información de identificación. Si Steam rechaza sus solicitudes después de 4 registros en lugar de 5, sabrán que han acertado su contraseña.