web-dev-qa-db-ja.com

古いパスワードを確認して新しいパスワードを作成する目的は何ですか?

enter image description here

誰かが私のパスワードを盗んだとすると、彼/彼女は古いパスワードを確認することで簡単にパスワードを変更できます。

では、なぜそのステップが必要なのか、古いパスワードの確認を使用する目的は何なのか、私は知りたいのですが。

93
ronaldtgi

あなたがログインしていて、私があなたのコンピューターの前に座っている場合、私はあなたをあなたのアカウントから締め出し、所有権を私に譲渡することができます。

347
schroeder

2つの主な理由:

  1. セッションが危険にさらされた場合(たとえば、コンピューターから離れて他のユーザーがジャンプした場合、またはリモートセッションの危険にさらされた脆弱性がある場合)は、他のユーザーがパスワードを変更できず、自分のアカウントからロックアウトされます。
  2. パスワードの変更を強制する場合は、古いパスワードと新しいパスワードが一致しないことを確認できます。古いパスワードを回復可能な形式で保存する必要はありません。確認してから、新しいパスワードが新しいパスワードではないことを確認してください。完全にソルト化されたパスワードハッシュでも同じです。ハッシュだけで完全一致をチェックできますが、「新しいパスワードが、最後の桁が1ずつ増加した古いパスワードではないことを確認する」などのチェックは許可されません。
143
Matthew

他の回答を増やすために、を追加して、キーボードがユーザーの意図どおりに機能していることを確認します。

Caps Lockは大文字と小文字を逆にすることができ、Num Lockは入力するかどうかを変更できます。キーパッドの「4」は、代わ​​りにカーソルを左に移動します。一部のインターフェースは警告を表示しますが、多くは表示しません。

ほとんどのOSにはソフトウェアキーボードレイアウトがあります。古いパスワードを正しく入力できることは、現在のレイアウトを使用しようとしていることの良い証拠です。

また、個々のキーが機能しなくなったため、他のキーボードからログインできない理由をトラブルシューティングするときに不満が生じます。

95
Spencer Joplin

古いパスワードを確認しても、パスワードを紛失した場合のアカウントの保護には役立たないと思います。しかし、誰もあなたのパスワードを盗んだことがない場合、それは意味があります。あなただけがあなたのパスワードを変更できる唯一の人であることを保証するからです(あなただけがあなたのパスワードを知っているからです)。たとえば、誰もあなたのFacebookパスワードを知っていませんが、携帯電話のアカウントでFacebookにすでにログインしていて、友人があなたの電話を借りています。もし彼/彼女があなたのパスワードを変更したいのなら、それはあなたの現在のパスワードを知らなければ不可能です。

10
Sarah G.

それはあなたがあなた自身でアカウントを保つのを助けることです。

いくつかのシナリオ

  1. ミドルウェアまたは他の方法でCookieが盗まれた場合、サイトから古いパスワードの入力を求められなかった場合、パスワードと再設定用の電子メールを変更すると、アカウントは所属しなくなりますあなたへ。

  2. ログインしているシステムに誰かがアクセスできる場合、そのユーザーはパスワードを変更してから再設定用の電子メールを送信し、アカウントはあなたのものではなくなります。

2
i--