El banco conserva sus contraseñas anteriores (o hashes de las mismas) para obligarlo a cambiar su contraseña, pero esto no significa que acepten una contraseña antigua como autenticación válida. El punto importante es: el banco quiere proteger el acceso , pero no tiene ningún interés en proteger sus contraseñas antiguas per se . Para el banco, la contraseña anterior ya no es información confidencial, ya que no otorga acceso al banco.
Bueno, en realidad, las contraseñas antiguas son algo delicadas porque los usuarios son usuarios, y por lo tanto:
- reutilizar contraseñas para otros sitios;
- "generar" contraseñas sucesivas con procedimientos "ingeniosos", a diferencia de lo que deben hacer, es decir, procedimientos aleatorios . Si un atacante descubre que sus dos contraseñas anteriores son "somnoliento" y "estornudo", puede intentar "gruñón" y "feliz" como posibles contraseñas).
Por lo tanto, un banco que guarda rastros de contraseñas antiguas en torno a debería protegerlos adecuadamente, es decir, como si aún fueran contraseñas activas (por lo tanto, almacenar solo hashes, con un hash lento y mucha sal). Pero eso es indirecto. Por sí solo, aprender una contraseña antigua no le otorga ningún poder especial al atacante, al menos desde el punto de vista del banco.
Forzar cambios de contraseña en los usuarios es, en el mejor de los casos, un procedimiento de dudoso valor. puede mejorar la seguridad solo si asumimos que la contraseña anterior fue robada en algún momento. En otras palabras, tiene beneficios de seguridad solo si se está produciendo una cantidad constante, no nula de accesos fraudulentos y el servidor ha aprendido a tolerarlo, y solo quiere mantenerlo bajo. Esto no es muy tranquilizador, para un banco. En todos los demás casos, forzar una actualización de la contraseña solo contradice a los usuarios, y eso nunca es bueno. Consulte esta pregunta anterior para obtener más información Opiniones sobre el tema.
La mayoría de los lugares donde las contraseñas deben cambiarse regularmente lo hacen principalmente porque es técnicamente posible y por respeto a una tradición difusa que nunca se pronuncia con claridad. En mi lugar de trabajo, las contraseñas deben cambiarse cada 42 días, deben ser distintas de las últimas 24 contraseñas y, por último pero no menos importante, cuando cambio mi contraseña no puedo volver a cambiarla durante los próximos tres días (tengo nunca entendí qué razonamiento pudo haber pasado por la mente de las personas que establecieron tal regla; no encuentro ningún beneficio para ella en ninguna situación, incluso descabellada; es simplemente molesta, y debo asumir que estaba destinada a mantenerme enojado. ).
Pero, si el banco, sin embargo, desea forzar las actualizaciones de contraseñas, entonces tiene sentido mantener los hashes de contraseñas anteriores: no debilita la seguridad del sitio del banco y es la única forma de aplicar una política de contraseñas distintas .