Cuando un usuario está cambiando su contraseña, ¿hay alguna razón para prohibirle usar cualquier contraseña que haya usado en el pasado?

Estoy implementando la función de contraseña olvidada para mi sitio web, y mientras miraba otros sitios web para conocer las mejores prácticas, descubrí que gmail aplica esto, ningún otro sitio que miré aplicaba esta restricción.

preguntado el 24 de agosto de 12 a las 07:08

2 Respuestas

Hay muchas ideas bastante anticuadas sobre contraseñas y seguridad de contraseñas.

Si un usuario tiene una contraseña comprometida, y luego, sin importar cuántos días después la cambie, el atacante ahora está bloqueado del sistema.

Si ese usuario alguna vez regresa y reutiliza su contraseña anterior, entonces el pirata informático podría decidir volver a intentar esa cuenta/contraseña y recuperar la entrada al sistema.

Por supuesto, abre un nuevo conjunto de problemas. Hágalo para que un usuario no pueda recordar su contraseña y comience a escribirla en notas adhesivas pegadas a su monitor.

¿Personalmente? En todos los sitios en los que he trabajado, nunca pensé que fuera importante agregar /o/límites de caducidad de contraseña sobre qué contraseñas se pueden (re)utilizar.

Respondido 24 ago 12, 07:08

Gracias. Sí, el hecho de que un pirata informático decida volver a intentar la cuenta/contraseña parece ser el único punto que se bloqueará. OTOH, puede generar problemas de usabilidad para los usuarios cuyas cuentas no se han visto comprometidas, pero que desean reutilizar sus contraseñas anteriores. - sps

Hubiera pensado que proporciona poca o ninguna seguridad adicional. Está confiando en que el usuario no perderá su contraseña, pero supongo que puede ser en ambos sentidos.

Si tienen que elegir una nueva contraseña, es posible que tengan que escribirla o es más probable que la olviden nuevamente; sin embargo, si tienen una nueva contraseña, es menos probable que alguien que conozca la contraseña que usan pueda usarla para acceder a su sitio web. .

De cualquier manera, asegúrese de almacenar la contraseña codificada para comparación y no como texto sin formato.

Respondido 24 ago 12, 07:08

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.