¿Por qué hacer un seguimiento de los cambios de contraseña de usuario en la aplicación web?

1

Por alguna razón, se ha convertido en una práctica común de seguridad * para los sitios web para realizar un seguimiento de los cambios de contraseña. Los sitios como Google incluso pueden decirle cuánto tiempo hace que cambió su contraseña. Además de recordarle que " cambió su contraseña hace 10 meses ... " siguen adelante y dicen " ¿Fue usted? Recupere su cuenta "

¿Cuál es el razonamiento detrás de esto, en cuanto a seguridad? Si un atacante pudo cambiar su contraseña hace 10 meses, ¿es lógico que le permita recuperar su cuenta después? Si pudieran cambiar su contraseña, significa que podrían cambiar casi todo lo que el usuario puede usar para recuperar la cuenta.

Creo que me falta un punto sobre por qué los sitios necesitan realizar un seguimiento de los cambios de contraseña de usuario.

EDITAR: Dicha situación ocurre cuando un usuario ingresa una contraseña incorrecta que alguna vez fue su contraseña. Por ejemplo, un sitio tendría una tabla de contraseñas de ejemplo con el siguiente contenido:

user_id | password  | changed
---------------------------------
1       | blah      | never
---------------------------------
1       | blah blah | 12.07.2017
---------------------------------
1       | no blah   | 31.01.2017
---------------------------------
2       | blah      | never

Cuando el usuario con user_id = 1 intenta iniciar sesión con la contraseña no blah , se le recordará que cambió su contraseña en 31.01.2017 . Pero cuando inicia sesión con su contraseña actual blah , iniciará sesión sin problemas.

    
pregunta Trouble Zero 26.08.2018 - 22:01
fuente

3 respuestas

1
  

Creo que me falta un punto sobre por qué los sitios necesitan realizar un seguimiento de los cambios de contraseña de usuario.

Ningún sitio web TIENE que realizar un seguimiento de los cambios de contraseña del usuario. Es solo que algunos lo hacen. Mantener un seguimiento de los cambios de contraseña permite varias cosas:

  1. Recuérdele al usuario que cambió su contraseña. Esto es útil si la contraseña ha sido cambiada por otra persona. Si no eres tú, entonces sabes que tienes que cambiarlo de inmediato. (No tiene que ser pirateado personalmente para que su contraseña se vea comprometida. Todo lo que necesita es reutilizar la contraseña y un servicio pirateado).
  2. Recuérdele al usuario que ya ha usado una contraseña. Esto garantiza que está cambiando su contraseña por una nueva real y que no está utilizando una contraseña que podría haber cambiado porque estaba comprometida.
  3. Recuérdele al usuario que podría ser hora de cambiar su contraseña.
respondido por el Guillaume Beauvois 26.09.2018 - 15:00
fuente
1

A veces, los usuarios cambian su contraseña y luego olvidan que cambiaron su contraseña. Si un usuario intenta iniciar sesión con lo que cree que es la contraseña correcta, tal vez por costumbre, ve "contraseña incorrecta", asumirá que simplemente escribió mal y probablemente lo intentará de nuevo. Tal vez continúen intentando la misma contraseña varias veces hasta que se rindan de frustración y restablezcan su contraseña, o terminen quedándose fuera de su cuenta si eso es algo que hace su sitio web.

Si, en cambio, después del primer inicio de sesión incorrecto, le presenta al usuario el mensaje "hey, cambió su contraseña la semana pasada", es posible que el usuario recuerde utilizar la nueva contraseña en lugar de la antigua.

Esto es especialmente útil para el común pero completamente inseguro "use la misma contraseña pero aumente el número al final cada pocos meses" método de trabajar con políticas de contraseña excesivamente restrictivas con cambios periódicos requeridos.

    
respondido por el Ben 26.09.2018 - 17:58
fuente
0

Cambiar una contraseña no siempre invalida las sesiones existentes. Un atacante que logra cambiar su contraseña podría dejar sus dispositivos conectados. La línea de tiempo de diez meses es realmente tonta, pero preguntar a un usuario si un cambio de contraseña fue intencional no es totalmente irrazonable.

Como mencionó ThoriumBR, hacer un seguimiento de la frecuencia con la que cambia su contraseña es a veces solo sitios que le recuerdan "hey, no la ha cambiado en mucho tiempo ...", pero honestamente en la mayoría de los casos, si usa contraseñas fuertes ( No es necesario adivinar / predecible y demasiado largo para la fuerza bruta) y único (no se utiliza en ningún otro sitio o servicio), no debería cambiar las contraseñas a menos que el sitio realmente sufra una violación de seguridad. El antiguo consejo para cambiar las contraseñas regularmente ha sido reemplazado en gran medida por el uso de contraseñas extremadamente seguras almacenadas en un administrador de contraseñas, por lo que no es necesario que las memorice, y en ese caso hay mucho menos valor en la rotación de contraseñas.

    
respondido por el CBHacking 26.08.2018 - 22:39
fuente

Lea otras preguntas en las etiquetas