¿Cuáles son los riesgos de almacenar (en hashes, supongo) todas las contraseñas antiguas? ¿Por qué una empresa decide no eliminar contraseñas antiguas? ¿Por qué no dejar que los usuarios reutilicen contraseñas antiguas?
¿Cuáles son los riesgos de almacenar (en hashes, supongo) todas las contraseñas antiguas? ¿Por qué una empresa decide no eliminar contraseñas antiguas? ¿Por qué no dejar que los usuarios reutilicen contraseñas antiguas?
¿Cuáles son los riesgos de almacenar (en los hashes, supongo) todas las contraseñas antiguas?
Pero solo porque no pueda usar su contraseña anterior no significa que almacenen necesariamente todas las contraseñas antiguas. Solo podrían copiar la contraseña que proporcionó y compararla con el hash almacenado.
¿Por qué una empresa decide no eliminar las contraseñas antiguas?
Para evitar que uses una contraseña antigua.
¿Por qué no dejar que los usuarios reutilicen contraseñas antiguas?
Vence todo el propósito de cambiar una contraseña.
Se puede cambiar una contraseña si la contraseña anterior se pierde o se ve comprometida. Al menos en el segundo caso, realmente no desea permitir la reutilización de la contraseña.
¿Cuáles son los riesgos de almacenar (en hashes, supongo) todos los antiguos? contraseñas?
Los riesgos son muy bajos, ya que las contraseñas antiguas no permitirán el acceso a la cuenta.
¿Por qué una empresa decide no eliminar las contraseñas antiguas?
Las empresas almacenan hashes de contraseñas antiguas para que puedan verificar que no se reutilizan x número de contraseñas antiguas.
¿Por qué no dejar que los usuarios reutilicen contraseñas antiguas?
El craqueo de contraseñas lleva tiempo. Si los atacantes lograron obtener el hash de la contraseña, pueden descifrarlo sin conexión. Supongamos que les tomó 10 meses descifrar la contraseña. Si su empresa lo obliga a cambiarlo cada 6 meses, no podrán acceder a su cuenta después de descifrar, ya que la contraseña ya se ha cambiado. Sin embargo, si se le permite reutilizar su contraseña anterior, los atacantes pueden acceder a su cuenta.
En segundo lugar, es posible que su contraseña de texto simple ya haya sido filtrada y que los atacantes ya estén accediendo a sus datos en este momento. Si reutiliza su contraseña durante los próximos 10 años, los atacantes continuarán teniendo acceso a sus datos durante los próximos 10 años. Si lo cambias cada 6 meses, al menos puedes minimizar el período de tiempo y la cantidad de datos que el atacante podría haber robado.