¿Todas las aplicaciones web deben implementar una función de seguridad que almacene contraseñas históricas? [duplicar]

Question

¿Todas las aplicaciones web deben implementar una función de seguridad que almacene contraseñas históricas? [duplicar]

#1 de Bubble Hacker (2 votos)

0

Además de ¿Es seguro almacenar un historial de hash de contraseña para evitar que el usuario mantenga la misma contraseña repetidamente en algunos casos? .

Facebook y otras compañías almacenan contraseñas históricas de los usuarios. Cuando desea cambiar una contraseña a una contraseña utilizada anteriormente, se rechaza. Esto me parece deseable porque se puede filtrar una contraseña (en combinación con un nombre de usuario o dirección de correo electrónico) y esa combinación podría haberse vuelto insegura.

Sin embargo, me pregunto si es deseable que compañías como Facebook almacenen todas nuestras contraseñas históricas (es de esperar que estén fuertemente enredadas, saladas y estiradas y no encriptadas como alguna vez lo hizo Adobe).

Shortly:

¿Todas las aplicaciones web deben implementar una función de seguridad de este tipo?
¿Es deseable que las empresas almacenen nuestras contraseñas históricas?
¿Durante cuánto tiempo se le permite almacenar / archivar esa información o cuántas contraseñas utilizadas recientemente se permiten o se recomiendan almacenar?

web-application passwords password-management authentication password-policy

pregunta Bob Ortiz 24.06.2016 - 11:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application passwords password-management authentication password-policy

¿La inclusión de un iPhone robado en la lista negra evitará que los ladrones tengan acceso a mis datos? Configuración de red: ¿Impediendo que mi computadora sea utilizada como proxy?

score 2 · Accepted Answer

Para responder a sus preguntas:

¿Todas las aplicaciones web deben implementar una función de seguridad de este tipo?

Esta es solo otra buena función de seguridad para ayudar al usuario, por lo que si la aplicación puede permitirse (recursos no financieros) tener esto implantado en su sistema, no hay razón para no hacerlo.

¿Es deseable que las empresas almacenen nuestras contraseñas históricas?

Dado que la mayoría de los usuarios en nuestros días no entienden la importancia de no tener la misma contraseña agregada con 123 al cambiar la contraseña, esto es importante para obligarlos a cambiar la contraseña a algo diferente, así que aumente la seguridad.

¿Durante cuánto tiempo puede almacenar / archivar dicha información o cuántas contraseñas utilizadas recientemente se permiten o recomiendan almacenar?

Para siempre ¿Por qué digo esto?

Si un atacante quiere piratear a un usuario específico, buscará OSint sobre el usuario en todo el lugar e incluso podría probar una contraseña que el mismo usuario utilizó hace años. Y como los usuarios tienden a usar las mismas contraseñas una y otra vez, esto no es bueno.