Uso de "contraseña con contador" de registro

Navega tus respuestas
10

Cuando se le pide que actualice sus contraseñas después de que se hayan quedado obsoletas (ya sea después de 30, 60, 90 días, lo que sea implementado por la política), muchos usuarios simplemente incrementan el número que pueden haberse visto obligados a agregar con la contraseña política.

Me interesa saber qué tan frecuente es esta práctica, no necesariamente quién la está haciendo.

Los sistemas ya mantienen un historial de contraseñas (con hash) para evitar su reutilización inmediata. ¿Qué tan malo sería si también mantuviera un historial de la suma ASCII del texto sin formato y observara si esa suma aumenta cuando se cambia la contraseña?

    
pregunta Nev Stokes 07.05.2014 - 17:07
fuente

3 respuestas

19

Puede probar si ciertos usuarios hacen esto o no sin guardar ningún dato adicional que pueda debilitar la seguridad. Simplemente verifique cuál habría sido su contraseña anterior cuando siguieran este esquema y compárelo con el hash anterior.

Cuando un usuario actualiza su contraseña, cree permutaciones de la nueva contraseña tomando cada dígito en la contraseña y disminuyéndolo en uno. Luego calcule los hashes de estas permutaciones y verifique si coinciden con el hash de la contraseña anterior. Por ejemplo, cuando cambio mi contraseña a Pas5word!14 , calcularía los hashes para 

Pas4word!14
Pas5word!04
Pas5word!13

Cuando uno de ellos coincide con mi antiguo hash, me atrapaste.

    
respondido por el Philipp 07.05.2014 - 17:15
fuente
1

Cuando el usuario debe ingresar la contraseña anterior antes de cambiarla por una nueva, puede intentar verificar cuánto son iguales la contraseña nueva y la antigua. Debido a que esto se puede hacer en el lado del cliente, no es necesario guardar el historial de las sumas ASCII.

    
respondido por el Serverfrog 07.05.2014 - 17:15
fuente
1

Tener una suma de comprobación (suma de caracteres) almacenada además de un hash debilitará extremadamente la robustez contra la fuerza bruta (especialmente si no se utiliza un módulo corto). Si esto es un problema para usted o no, no podemos decirlo.

Yo aconsejaría hacer estudios de investigación social de ese tipo cuando debiliten la seguridad del sistema. Solo use los filtros de contraseña típicos que imponen más diferencias en los cambios de contraseña y se hará.

    
respondido por el eckes 08.05.2014 - 01:37
fuente

Lea otras preguntas en las etiquetas

¿Está bien enviar una contraseña de texto sin formato a través de HTTPS? [duplicar] Problemas de copyright con algoritmos de cifrado