¿Cómo sabe Facebook que mi nueva contraseña es demasiado similar a mi contraseña anterior? [duplicar]

6

Todavía soy muy nuevo en el campo de Seguridad de la información y, que yo sepa, los sitios web utilizan algoritmos de hash en las contraseñas de los usuarios antes de almacenarlos y no conocen la contraseña de texto simple de un usuario.

Hoy intenté cambiar mi contraseña de Facebook, pero recibí este error,

Incluso si no recuerdo mi contraseña anterior, ¿cómo podría Facebook saber cuál era mi contraseña anterior?

    
pregunta Riley Willow 04.10.2015 - 14:10
fuente

2 respuestas

3

No sabemos exactamente cómo Facebook administra las contraseñas de los usuarios, sin embargo, podemos imaginar este escenario:

Un nuevo usuario inicia sesión en su cuenta de Facebook con la contraseña: Password1 . Es probable que, inmediatamente, Facebook genere contraseñas similares como: Passw0rd1 . pAssword2 , Passmord1 ... etc.

Facebook luego almacena sus hashes respectivos (que son diferentes, por supuesto) de modo que si un usuario escribe su contraseña (después del restablecimiento), el hash de la nueva contraseña se compara con todos estos hashes almacenados: Facebook puede decirle entonces si su nueva contraseña es similar a la anterior o no.

EDIT:

Siguiendo @ Philipp comentando que Facebook no tiene contraseñas de hash, quiero compartir esta información que cité la documentación oficial de Facebook ( Cómo mantener las contraseñas seguras ):

  

Nosotros hash cada contraseña usando nuestro algoritmo interno hashing   y el único salt para esa persona. Desde que Facebook almacena contraseñas   de forma segura como hashes , no podemos simplemente comparar una contraseña directamente con la   base de datos. Primero debemos hacer un hash y comparar los hashes.

    
respondido por el user45139 04.10.2015 - 14:32
fuente
1

Los detalles técnicos se proporcionan brevemente, pero Facebook utiliza hashing con sales únicas. Las contraseñas de texto sin formato se combinan con un algoritmo no revelado (como Facebook no lo ha revelado) y luego se colocan como prefijos o se fijan con sal única y se comparan. Si coincide, el usuario obtiene la luz verde de lo contrario no. En el caso de una contraseña similar, Facebook puede usar contraseñas hash pre-calculadas y pronosticadas como reemplazar a con @ oi con 1 o reemplazar alfabeto / s con mayúsculas o minúsculas. Se proporciona aquí en breve.

    
respondido por el mud1t 04.10.2015 - 15:33
fuente

Lea otras preguntas en las etiquetas