web-dev-qa-db-ja.com

古いパスワードの履歴と情報を保存する

Google、Facebook、Twitter、その他のいくつかのサービスは、アカウントで使用した古いパスワードをまだ認識しています。 再利用と同じパスワードを使用できない場合があります。次にGoogleで古いパスワードを誤って入力すると、最後にパスワードを変更した日時が表示されます。これは多かれ少なかれ、何らかの善を行う上でのセキュリティ上の脅威となる可能性があると思います。

なぜこれらの企業は古いパスワードとそのような情報を保持したいのでしょうか?誰かが私たちのアカウントに侵入した場合、彼らがその情報を保持することについてどれだけ心配する必要がありますか?

passwordsauthenticationaudit
9
Traven

セキュリティ:

セキュリティホールのように聞こえるかもしれません。しかし、私を信じてください。これは、最も強力なセキュリティパターンの1つです。それはあなたがあなたの急いでいる時でさえあなたの古いパスワードを作成することを避けるのを防ぎます。誰かがあなたの履歴を知っている可能性があるため、古いパスワードを再作成しないことが本当に必要です(友人や敵、それでもあなたのプライバシーに対する脅威として数えられます)。

便利:

誤って古いパスワードを入力したことをユーザーに通知されたときに、ユーザーにとってどれほど便利かわからないOR今回変更したなどの理由で、自分の古いパスワードを誤って誤って入力した。

ハッキングする:

先月パスワードを変更したことを知っていても、攻撃者が現在のパスワードを推測するのには役立ちません。これは、オンラインで公開した情報に基づいています。

たとえば、攻撃者が2日前にパスワードを変更したことを知った場合、関与しているブログやソーシャルネットワークサイトをチェックする可能性があります。現在のパスワードの推測につながる可能性のある関連情報を入力すると、あなたは公式に逮捕されました、そしてそれはあなたのネットワークのためではなくあなたによってです。

結論:

したがって、オンラインデータには注意してください。強力なパスワードを頻繁に更新し、Facebook、Google、Twitterに保存されている古いパスワードをそれほど気にしないでください。結局のところ、それらはあなたの使用法によってお金を稼ぐために存在します。つまり、彼らは彼らを保護するので、あなたのアイデンティティと情報を保護するのに十分な絶望的です!

7
Ebenezar John Paul

100%安全なものはありませんが、古いパスワードを保持するこの機能は、他の権限のない人に知られているパスワードを使用しないように保護します。

たとえば、パスワードが123で、誰かがそれを手に入れ、それを変更したとします。しばらくして、もう一度パスワードを変更する必要があることに気づきました。したがって、「123」と入力すると、システムは受け入れず、メッセージをスローします。

Webサイトに古いパスワードが保存されていない場合、攻撃者または悪意のある人物が簡単にあなたのアカウントを入手できます。

もう1つは、Google、Facebook、その他のWebサイトでもシステムのCookieをチェックすることです。アカウントがこのコンピューターでアクセスされたことに彼らが気づいた場合、彼らだけがあなたのパスワードがこの日に変更されたことを示すメッセージを表示します。

大文字と小文字、数字、特殊文字を最低10文字使用した強力なパスワードを保持することは常に良いことです。

5
Fennec

心配しないでください、サイトは古いパスワードを保存する必要はありません。彼らは単にあなたの以前のパスワードのソルトとハッシュを保存する必要があります。そのため、システムが侵害されたとしても、以前のパスワードは明らかにされません。以前のパスワードが再利用されないようにする理由については、以前のパスワードのいずれかが侵害された(または現在ブルートフォースで攻撃されており、侵害されようとしている)場合にのみです。これは、データへのリスクがまったくない優れたポリシーです。

3
TTT

最も可能性が高いのは、古いパスワードをすでに入手しているときに誰かがそれを入力することです(以前のbf/gfがあなたをストーカーしようとしていた、あなたが再利用したパスワードを盗んだハッカー)。したがって、以前は有効であったパスワードがまだ許可されていないことを彼らに知らせることはできません。

これは ユーザーエクスペリエンス の非常に優れた機能です。パスワードを変更したことを忘れた可能性があります。しばらくの間、またはただ疲れています。タイプミスを入力していませんが、実際に別のパスワードを探していることを知っていると、より少ない試行でパスワードを再検索するのに役立ちます。

問題がある可能性があるのは、古いパスワードを日和見的な推測をしている誰かに漏らす可能性があることです(たとえば、パスワードを変更する前に部分的にあなたをサーフィンした人、または誰かあなたを知っていて、あなたが非常に基本的なパスワードを使用していることを知っている人;私はしばしば私の母のパスワードを推測することができます)。そのパスワードを他の場所で再利用すると、問題が発生する可能性があります。

それは本当に重要ですか?このような攻撃者は、現在のパスワードを推測する可能性が高く、すでに脆弱な状態にあり、その状態が続く可能性があります。

2
Steve Dodier-Lazaro

本当に恐ろしいことをするシステムを見つけました。要件はもともと行きました:

* Don't permit new password to be too close
  (where close was measured in change distance) to old password.
* Don't permit new password to match N old passwords.

ここまでは順調ですね。次に、一部のマネージャーは次のように読むべきだと判断しました。

* Don't permit new password to be too close
  (where close was measured in change distance)
  to N old passwords.

ブーー。 closeが1より大きい場合、一方向にハッシュされたパスワードを格納している可能性は低いです。解決策が存在しないことを証明することはできませんが、信じられないような欠点のない解決策が存在しないことは確かです。

0
Joshua