Один из моих поставщиков программного обеспечения SaaS требует, чтобы я менял пароли каждые 90 дней, что хорошо.Идентификация сходства паролей без сохранения в виде обычного текста?
Что меня удивляет, хотя, является то, что ошибки на экране смены пароля с примечанием, что мой new password is too similar to an old password.
Чаще всего это происходит, если я меняю меньше, чем три или четыре из символов в пароле.
Если бы это было точное совпадение со старым паролем, я был бы уверен, что они хешируют мой пароль и сравнивают хеши. Согласование «подобия» заставляет меня думать, что они хранят и сравнивают версии открытого текста.
Можно ли определить «сходство» путем сравнения одного хеша с другим, или этот поставщик скорее сохранит мой пароль в текстовом виде?