Por alguna razón, se ha convertido en una práctica común de seguridad * para los sitios web para realizar un seguimiento de los cambios de contraseña. Los sitios como Google incluso pueden decirle cuánto tiempo hace que cambió su contraseña. Además de recordarle que " cambió su contraseña hace 10 meses ... " siguen adelante y dicen " ¿Fue usted? Recupere su cuenta "
¿Cuál es el razonamiento detrás de esto, en cuanto a seguridad? Si un atacante pudo cambiar su contraseña hace 10 meses, ¿es lógico que le permita recuperar su cuenta después? Si pudieran cambiar su contraseña, significa que podrían cambiar casi todo lo que el usuario puede usar para recuperar la cuenta.
Creo que me falta un punto sobre por qué los sitios necesitan realizar un seguimiento de los cambios de contraseña de usuario.
EDITAR: Dicha situación ocurre cuando un usuario ingresa una contraseña incorrecta que alguna vez fue su contraseña. Por ejemplo, un sitio tendría una tabla de contraseñas de ejemplo con el siguiente contenido:
user_id | password | changed
---------------------------------
1 | blah | never
---------------------------------
1 | blah blah | 12.07.2017
---------------------------------
1 | no blah | 31.01.2017
---------------------------------
2 | blah | never
Cuando el usuario con user_id = 1
intenta iniciar sesión con la contraseña no blah
, se le recordará que cambió su contraseña en 31.01.2017
. Pero cuando inicia sesión con su contraseña actual blah
, iniciará sesión sin problemas.