¿Es correcto que se me informe que ingresé una contraseña anterior?

Diría que se convierte en una compensación: ¿cuál es el riesgo de que un atacante ingrese una contraseña antigua, reciba el mensaje, transmita un canal al usuario legítimo, use un ataque de ingeniería social para obtener la contraseña legítima en lugar de Los riesgos / costos asociados con los usuarios no reciben este recordatorio, y en su lugar se ponen en contacto con el soporte técnico, o se obliga a restablecer la contraseña cuando un recordatorio hubiera ayudado.

Sospecho que en este caso, resultó que los beneficios del recordatorio superaban la información adicional. En particular, ya que es probable que obtener una contraseña antigua para un usuario sea tan fácil como obtener una nueva contraseña, entonces ¿por qué dedicar tiempo a este mensaje si puede ingresar a la cuenta?

1. Es bastante común mantener un historial de contraseñas en un sistema de autenticación. Recuerde, están almacenando hashes / representaciones de su contraseña, no su contraseña real y se comparan con esas, por lo que no hay mucho riesgo de exposición o ingeniería social aquí. Supongo que existe un pequeño riesgo aquí: si un atacante está interceptando el tráfico de su red y es MiTM (incluso en SSL) verá su contraseña y ahora es una antigua, y puede asumir que está usando la contraseña en otros sitios. Sin embargo, si su tráfico ya está siendo interceptado, también verán la nueva contraseña y, probablemente, todo el resto de su tráfico.

2. El aviso que indica cuándo cambió la contraseña no representa un riesgo real para la seguridad. Esto es así, de esa manera puede determinar si realizó el último cambio de contraseña, si no recuerda haber cambiado su contraseña en ese momento, debe asegurarse de cambiarla ahora y averiguar cómo fue comprometido. En cuanto a la red o computadora local, es probable que solo esté usando su dirección IP pública; Si está detrás de un enrutador doméstico (usando NAT), todas sus computadoras aparecerán en Internet como la misma IP. Estoy realmente sorprendido de que no le diga que cambió su contraseña de otra PC o red, he visto que Google me advierte sobre intentos de inicio de sesión desde direcciones IP en otros países.

No estoy seguro de cuál es el problema de la ingeniería social en este escenario. ¿Se te hacen preguntas como "¿A qué escuela secundaria asististe?" como una pregunta de desafío (por ejemplo, ¿algo público o parte de su perfil de Facebook?).

Con muchos sistemas, un usuario que olvida su contraseña puede autenticarse a través de otros medios y asignar una nueva contraseña. Desafortunadamente, en muchos casos, es posible que un impostor use esos "otros medios" para autenticarse y cambiar la contraseña de la cuenta para que él (el impostor) pueda acceder a ella pero el usuario original no pueda. Si el siguiente intento del usuario legítimo de iniciar sesión con la contraseña que había establecido anteriormente simplemente decía "Contraseña incorrecta", el usuario legítimo podría (erróneamente) creer que había olvidado su contraseña y nunca darse cuenta de que la cuenta había sido comprometida. Al informar al usuario que la contraseña se cambió cuando él mismo no había cambiado, notificaría que la cuenta había sido hackeada. El valor de dicha notificación podría en muchos casos exceder sustancialmente cualquier riesgo de seguridad que pudiera suponer.