2014-12-08 2 views
2

Один из моих поставщиков программного обеспечения SaaS требует, чтобы я менял пароли каждые 90 дней, что хорошо.Идентификация сходства паролей без сохранения в виде обычного текста?

Что меня удивляет, хотя, является то, что ошибки на экране смены пароля с примечанием, что мой new password is too similar to an old password.

Чаще всего это происходит, если я меняю меньше, чем три или четыре из символов в пароле.

Если бы это было точное совпадение со старым паролем, я был бы уверен, что они хешируют мой пароль и сравнивают хеши. Согласование «подобия» заставляет меня думать, что они хранят и сравнивают версии открытого текста.

Можно ли определить «сходство» путем сравнения одного хеша с другим, или этот поставщик скорее сохранит мой пароль в текстовом виде?

ответ

2

По всей видимости, они хранят простой текст. При хорошем алгоритме хэширования не должно быть никакой корреляции между исходным содержимым и хеш-значением (это то, что делает его хорошим).

Возможно, они хранят некоторые характеристики исходного пароля для использования в качестве ссылки. Например, количество символов, любое числовое значение и т. Д., А затем сравнивается с этим, но я сомневаюсь в этом.

3

Возможно. Всякий раз, когда вы меняете пароль, программное обеспечение может создавать хеш-коды для всех комбинаций одного и того же пароля с несколькими маскированными или удаленными символами.

Если ваш пароль hello, он может создать хэш-коды для _ello, h_llo, he_lo, hel_o, hell_, __llo, _e_lo, _ell_, he_l_, he__o ... et.c.

При следующем изменении пароля он может создать тот же набор комбинаций этого пароля и сравнить со всеми предыдущими хэш-кодами. Если есть совпадение, изменилось только несколько символов.

Гораздо проще просто сохранить пароли в текстовом формате, конечно.

0

Это зависит от того, проверяют ли они все старые пароли, или только ваш последний.

Последний будет доступен в памяти, если вам нужно было ввести старый пароль, чтобы установить новый. Форма обычно запрашивает три входа: старый пароль, новый пароль и новый пароль.

Если они хранят ваши последние несколько паролей в хешированной форме, они смогут проверить их для точного соответствия, и они могут проверить ваш предыдущий пароль на сходство, используя алгоритм, используя старый пароль, который вы только что заново ввели ,

 Смежные вопросы

  • Нет связанных вопросов^_^