¿Por qué los sistemas de seguridad no evitan que se incremente la contraseña?

0

Muchos usuarios, incluido yo mismo, incrementan los últimos dígitos de una contraseña cuando se requiere que se cambien con regularidad, por ejemplo, 30/60/90 días.

Independientemente de si los cambios de contraseña forzados son un control de seguridad efectivo, ¿no hay una manera de identificar contraseñas similares y evitar que se configuren? y si hay una manera, ¿por qué no se emplea habitualmente?

Por ejemplo:

  1. Considere la nueva contraseña (texto sin formato) y el hash de la contraseña actual

  2. Identifique cualquier dígito al principio o al final de la nueva contraseña y genere secuencialmente 100 variaciones (por ejemplo, Contraseña55 - > Contraseña54, Contraseña53, Contraseña56, Contraseña57, etc.) para identificar incrementos comunes.

  3. Si alguno de los hash resultantes coincide con el hash actual, rechace el cambio de contraseña porque es demasiado similar a la contraseña existente.

Esta función no parece ser una configuración disponible en Windows (al menos) y tengo curiosidad por entender por qué.

Saludos

    
pregunta Keyvee 07.11.2016 - 22:06
fuente

1 respuesta

-1

Supongo que esto es adivinar lo que no vale la pena. ¿Deberías solo identificar números? ¿Cuántos? ¿Por qué no identificar personajes? Si estoy configurando mi contraseña como "secr10", el sistema guardaría Hash ("secret10") como hash de contraseña y Hash ("secret11"), Hash ("secret12") ... como hashes, lo cual No se permitirá su uso en el futuro. Pero este sistema ya se rompe cuando configuro mi próxima contraseña en "Secret11". ¡El sistema no es capaz de identificar la mayúscula cambiada! No es posible comparar hashes con la lógica más leve. Ya que incluso el más mínimo cambio romperá el Hash. Y si desea diseñar un sistema seguro basado en contraseñas, es más importante utilizar hashes que verificar los cambios en las contraseñas.

    
respondido por el cornelinux 07.11.2016 - 22:43
fuente

Lea otras preguntas en las etiquetas