Almacenamiento del historial de contraseñas antiguas e información

9

Google, Facebook, Twitter y varios otros servicios aún conocen las contraseñas antiguas que usamos en nuestras cuentas. A veces, no puedo reutilizar la misma contraseña que tengo. Luego, con Google, si escribo una contraseña antigua por error, me dice cuándo fue la última vez que cambié mi contraseña. Creo que esto podría ser más o menos una amenaza a la seguridad por hacer cualquier bien.

¿Por qué estas empresas querrían mantener contraseñas antiguas e información como esa? ¿Cuánto tenemos que preocuparnos de que conserven esa información, si alguien ingresara en nuestras cuentas?

    
pregunta Traven 13.07.2014 - 23:39
fuente

5 respuestas

7

Seguridad :

Puede sonar como un agujero de seguridad para ti. Pero confía en mí, es uno de los patrones de seguridad más fuertes. Evita que evites que crees una vieja contraseña tuya, incluso en tus apuros. Es realmente necesario para ti No volver a crear sus contraseñas antiguas, ya que siempre existe la posibilidad de que algunas personas conozcan su historia (amigos o enemigos, todavía  cuenta como una amenaza para su privacidad).

Conveniencia :

No tiene idea de lo útil que es para un usuario cuando se le notifica que ingresó su contraseña anterior por error O la cambió esta tiempo atrás, etc., realmente ayudará a un usuario que escribió su antigua contraseña por error.

Se piratea:

Solo sabiendo que cambió su contraseña el mes pasado no ayudará a un atacante a adivinar su contraseña actual. Está basado en La información que pones en línea.

Por ejemplo, cuando un atacante llega a saber que cambia su contraseña dos días antes, podría revisa tu blog o los sitios de redes sociales en los que estás involucrado. Si pones cualquier información relacionada que pueda llevar a adivinar tu contraseña actual, es cuando estás oficialmente atrapado y no por tus redes, sino por ti.

Conclusion:

Así que ten cuidado con tus datos en línea. Actualice las contraseñas seguras con frecuencia y no se preocupe por las contraseñas antiguas almacenadas por Facebook, Google, Twitter. ¡Después de todo, existen para ganar dinero con su uso, lo que significa que están lo suficientemente desesperados como para proteger su identidad e información mientras protegen la suya!

    
respondido por el Ebenezar John Paul 14.07.2014 - 13:22
fuente
5

Nada es 100% seguro, sin embargo, esta función de guardar contraseñas antiguas lo protege de usar las contraseñas que conocen otras personas no autorizadas.

Digamos que tiene una contraseña 123, alguien la tomó y luego la cambió. Algún tiempo después, se dio cuenta de que necesita volver a cambiar la contraseña. Por lo tanto, si ingresa '123', el sistema no aceptará y le enviará un mensaje.

En caso de que el sitio web no almacene las contraseñas antiguas, el atacante o persona maliciosa puede obtener fácilmente su cuenta.

Otra cosa es que, Google, Facebook y otros sitios web también verifican las cookies en el sistema. Si se dan cuenta de que se accedió a la cuenta en esta computadora, solo ellos le mostrarán un mensaje indicando que su contraseña se cambió en esa fecha.

Siempre es bueno mantener una contraseña segura con caracteres superiores e inferiores, números y caracteres especiales con una longitud mínima de 10 caracteres.

    
respondido por el Fennec 14.07.2014 - 07:42
fuente
3

No se preocupe, los sitios no necesitan almacenar sus contraseñas antiguas. Simplemente necesitan almacenar las sales y hashes de sus contraseñas anteriores. Entonces, incluso si su sistema estuviera comprometido, sus contraseñas anteriores no serían reveladas. En cuanto a la razón por la que quieren asegurarse de no reutilizar ninguna contraseña anterior, eso es simplemente en caso de que alguna de sus contraseñas anteriores haya sido comprometida (o estén siendo objeto de una violación de la fuerza bruta y estén en camino de ser comprometidas). Esta es una buena política sin ningún riesgo para sus datos.

    
respondido por el TTT 15.07.2014 - 20:09
fuente
2

Lo más probable es que alguien esté escribiendo su contraseña antigua cuando ya la haya obtenido (un antiguo bf / gf que intenta acosarlo, un pirata informático que robó una contraseña que reutilizó). Por lo tanto, hacerles saber que la contraseña que solía ser válida aún no les permite ingresar.

Es una característica muy agradable para experiencia de usuario . Es posible que hayas olvidado que has cambiado. la contraseña, es posible que tampoco haya iniciado sesión por un tiempo o simplemente que esté cansado. Saber que no ha escrito un error tipográfico pero que, de hecho, está buscando una contraseña diferente lo ayuda a volver a encontrar su contraseña en menos intentos.

Lo que podría ser un problema es que podría filtrar una contraseña antigua tuya a alguien que haga suposiciones oportunistas (por ejemplo, alguien que parcialmente te navegó antes de que hayas cambiado tu contraseña o alguien que sepa usted sabe que usa una contraseña muy básica; por ejemplo, a menudo puedo adivinar las contraseñas de mi madre). Si reutiliza esa contraseña en otro lugar, podría tener problemas.

¿Realmente importa? Un atacante de este tipo tendría la misma probabilidad de adivinar su contraseña actual, y ya se encuentra en un entorno en el que es vulnerable a ellos y es probable que lo sea.

    
respondido por el Steve DL 13.07.2014 - 23:55
fuente
0

Vi un sistema que hizo algo realmente aterrador. Los requisitos fueron originalmente:

* Don't permit new password to be too close
  (where close was measured in change distance) to old password.
* Don't permit new password to match N old passwords.

Hasta ahora, todo bien. Entonces, algún gerente decidió que debería leer:

* Don't permit new password to be too close
  (where close was measured in change distance)
  to N old passwords.

Booo. Si close es mayor que 1, la probabilidad de que almacenen las contraseñas de forma unidireccional es remota. Remoto como en No puedo demostrar que no exista una solución, pero estoy razonablemente seguro de que no existe ninguna solución que no tenga inconvenientes increíbles.

    
respondido por el Joshua 13.11.2016 - 17:17
fuente

Lea otras preguntas en las etiquetas