Jeśli hasła są przechowywane w stanie mieszanym, skąd komputer wiedziałby, że twoje hasło jest podobne do ostatniego, jeśli spróbujesz je zresetować?

Jeśli hasła są przechowywane w stanie mieszanym, skąd komputer wiedziałby, że twoje hasło jest podobne do ostatniego, jeśli spróbujesz je zresetować? Czy dwa hasła nie byłyby zupełnie inne, skoro jedno zostało zaszyfrowane i nie można go odwrócić?

Jednym ze sposobów realizacji tego jest zresetowanie hasła. Zazwyczaj użytkownik jest proszony o podanie starego hasła. W takiej sytuacji możesz po prostu użyć zwykłego porównania podobieństwa ciągów, ponieważ w tym momencie masz oba hasła w postaci zwykłego tekstu.

Innym sposobem realizacji tego jest normalizacja hasła, na przykład znaki akcentowane są znormalizowane do najbliższych angielskich alfabetów, spróbuj transkrybować tekst fonetycznie, usuwając liczby itp. Oraz wstępnie obliczając wiele wersji skrótów generowanych z hasła, które zostały znormalizowane na różne sposoby. Zauważ, że osłabia to mechanizm mieszania o nieokreśloną ilość. Nie uważałbym tego za najlepszą praktykę bezpieczeństwa.

Prosta odpowiedź jest taka, że ​​bezpieczny system nie wie, czy są podobne.

Jednak niektóre systemy celowo zmniejszają bezpieczeństwo określonego hasła, aby nowe hasła nie były starymi lub podobnymi do nich. Kompromis między korzyściami i kosztami polega na tym, że nowe hasło zostanie utworzone, zanim ktoś złośliwie złamie bieżące hasło, nawet przy podobieństwie.

• Mogą przechowywać ostatnie N skrótów haseł, których użyłeś. Jeśli wpiszesz stare hasło, będzie to oczywiste, ponieważ nowy skrót hasła odpowiada staremu skrótowi hasła.
• Używany mechanizm mieszania może zawierać mechanizm przybijania kciuka, a skrót może być przechowywany obok skrótu. Zasadniczo pewne wzory bitów w miniaturze skrótu wyrażają zestaw bardzo podobnych wzorów bitów w wartości bazowej.
• Podobnie mogą trzymać z boku statystyki dotyczące Twojego hasła, co pozwoliłoby na dokładny pomiar podobieństwa.

Zasadniczo każda z tych technik zmniejsza bezpieczeństwo haseł.

• Przechowywanie starych haseł zmniejsza bezpieczeństwo tych haseł. W przypadku złamania któregoś z tych haseł istnieje duże prawdopodobieństwo, że obecne hasło będzie podobne do nich, większość ludzi zmienia tylko liczbę.

• Gwoździowanie kciukiem i statystyki mogą wyeliminować zgadywanie złych haseł szybciej niż próba skrócenia zgadywania i porównania. Wynika to z tego, że skróty, szczególnie bezpieczne, są trudne do obliczenia i podjęcia wysiłku, nawet jeśli są przyspieszane sprzętowo. Chociaż prostsze obliczenia, które mówią „zdecydowanie nie” lub „może” mogą wyeliminować większość z tych domysłów, po tym wszystkim wszystkie kontrole podobieństwa mają na celu powstrzymanie cię od używania podobnych haseł, a nie od użycia zupełnie nowego hasła, które nie wygląda podobnie jak stare.

Krótko mówiąc, uważaj na wszelkie strony, które wskazują na podobieństwo do twojego obecnego / starego hasła. Chyba że mówią, że nowe hasło jest starym hasłem.

Jeśli hasła są przechowywane w stanie mieszanym, skąd komputer wiedziałby, że twoje hasło jest podobne do ostatniego, jeśli spróbujesz je zresetować? Czy dwa hasła nie byłyby zupełnie inne, skoro jedno zostało zaszyfrowane i nie można go odwrócić?

Generujesz wiele podobnych haseł z tego, które wprowadził użytkownik, i sprawdzasz, czy któryś z ich skrótów jest zgodny z jednym ze starych haseł.

Innym wzorcem jest to, że Twój system hashuje niektóre charakterystyczne podzbiory hasła i przechowuje te skróty, aby sprawdzić, czy podzbiory nowego hasła pasują do któregokolwiek ze starych, np .: hasło: „Admin2018” i podzbiór: „Admin” = nie można wprowadzić „Admin2019” jako nowy.

Jednym ze sposobów byłoby przechowywanie ostatnich pięciu zaszyfrowanych haseł w tabeli, takich jak „Historia haseł”, a gdy użytkownik próbuje ustawić nowe hasło, zaszyfrować je i porównać z hashowanymi hasłami w tabeli.