对这个问题的回答说,Facebook 会生成一堆密码猜测,以查看它们是否与以前版本的密码相同。
何必呢?如果一项服务强制每个密码具有足够的长度和复杂性,那么它为什么要关心更改后的密码是否与以前的密码相似,因为理论上每个密码已经足够长和复杂,可以满足安全要求?
Facebook 的政策是否真的能阻止某种攻击,即黑客从长而复杂的密码猜测开始,然后尝试微小的变化,或者它只是对用户的刺激,阻止他们使用实际上足够好的新密码?
为什么 Facebook 会费心比较新旧密码?
信息安全
密码
哈希
2021-08-31 23:31:39
2个回答
因为如果 Facebook 可以通过算法生成类似的密码,那么密码破解者也可以。
顺序可能是这样的:密码泄露 -> 用户将其更改为类似的内容 -> 通过尝试与已知前一个密码相似的密码在算法上泄露新密码。
另外,想象一个帐户被一个真实的人专门针对的场景。攻击者可能知道以前的密码或者知道他们大概是什么(例如帐户所有者的前浪漫伴侣或其他东西)。在这种情况下,与前一个密码相似的密码更有可能被猜到。
因为用户可以通过更改一个字符轻松绕过旧密码策略。由于您存储散列,并且散列在源上的微小更改时会发生巨大变化,因此您无法测量不同散列密码之间的“距离”。
我在生活中见过的简单例子:你强迫 Alice 使用由字母、数字 a 和符号组成的强密码,所以这是她的密码
V@nillaSky2017
3 个月后,Alice 就该更改她的密码了。相同的标准
和新密码 iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiis.......
V@nillaSky2018
#epicfail 没什么可评论的