Domanda:
Qual è lo scopo di confermare la vecchia password per creare una nuova password?
ronaldtgi
2017-06-15 14:33:20 UTC
view on stackexchange narkive permalink

enter image description here

Supponiamo che qualcuno abbia rubato la mia password, può facilmente cambiarla confermando la vecchia password.

Quindi, io sono curioso di sapere perché abbiamo bisogno di quel passaggio e qual è lo scopo di utilizzare la vecchia conferma della password?

Si noti che, affinché i motivi forniti nelle risposte siano efficaci, questa politica (o simile) deve essere applicata a tutte le funzionalità di controllo dell'account.Per esempio.modificare l'indirizzo e-mail dell'account, dove è presente una funzione di reimpostazione della password.
@ronaldtgi Presumo tu stia insinuando "perché abbiamo bisogno di quel passaggio _ * se abbiamo già effettuato l'accesso * _, è corretto? Altrimenti la domanda sembra sciocca.
Inoltre, è simile alla richiesta di digitare nuovamente la password quando si emette un comando "sudo" su un computer Linux.Altrimenti mi allontano per 30 secondi senza bloccare il mio PC, qualcuno digita velocemente "sudo maliziosocommand", e sono imbrogliato anche perché quella persona ha appena usato l'accesso come root anche se non ero loggato come root.O come il prompt UAC di Windows che ottieni quando installi qualcosa.Questi sono solo gateway aggiuntivi che offrono livelli di protezione.
"Supponiamo che qualcuno abbia rubato la mia password, può cambiarla facilmente confermando la vecchia password."Infatti, ma se il sistema non chiedesse la vecchia password diventerebbe "Supponiamo che qualcuno non conosca affatto la mia password, può facilmente cambiarla con quello che vuole".Ti sembra sicuro?
@oerkelens Questa seconda affermazione non è corretta e sopravvaluta il problema.Dovrebbe essere "Supponiamo che qualcuno non conosca affatto la mia password, può facilmente cambiarla con quello che vuole * se ha accesso a un sistema in cui sono già loggato *".Ciò può essere entro limiti accettabili di sicurezza a seconda del contesto.Per esempio.Probabilmente non ho bisogno che il mio sistema antifurto mi chieda il mio vecchio codice quando voglio cambiarlo, perché non c'è uno scenario realistico in cui sarebbe importante.
@Aaron, sì, davvero.Se pongo la domanda come se fossi disconnesso e volessi modificare le password, sarebbe più sciocco.
Mi chiedo quante persone lo implementino con il ragionamento
E se qualcuno trova un modo per aggirare del tutto il sistema di accesso?Forzare l'utilizzo di una password nella modifica della password impedisce a un hacker di bloccarti.Certo, avrebbero ancora accesso, ma almeno * tu * puoi ancora entrare. Non è una vera risposta.Solo un piccolo pensiero.Potrei sbagliarmi completamente.
entrare nella tua sessione! = rubare la tua password
l'aggiunta di una domanda di sicurezza è la cosa migliore
Sei risposte:
schroeder
2017-06-15 14:36:37 UTC
view on stackexchange narkive permalink

Se hai effettuato l'accesso e mi siedo al tuo computer, posso escluderti dal tuo account e trasferire la proprietà a me stesso.

Eh hai ragione, la tua risposta era comunque migliore.
Spesso vedo che quando una password viene modificata, viene inviata un'e-mail all'indirizzo con cui ti sei registrato (o se era il cambio di indirizzo e-mail, vengono inviate 2 e-mail a indirizzi nuovi e vecchi) con uno speciale URL "ripristina questa modifica" aevitare solo questo tipo di acquisizione.
@user1306322 Ammetto di non aver mai visto l'opzione "Annulla modifica", solo un avviso che è stato tentato qualcosa.Sapete quali servizi offrono le opzioni di "ripristino"?
@schroeder La maggior parte delle email di "password modificata" che ho visto di solito non includono un pulsante "annulla questa modifica", ma di solito _do_ includono istruzioni su cosa fare se non sei stato tu a iniziare la modifica.Di solito queste istruzioni ti dicono di reimpostare la tua password tramite il normale processo di recupero dell'account basato su e-mail, che probabilmente è meglio che annullare semplicemente la modifica comunque poiché chiunque abbia cambiato la tua password in primo luogo probabilmente ha già la tua vecchia.
@schroeder conduce alla pagina in cui puoi inserire le tue credenziali (che hai ancora) o numeri di backup come negli account Google, oppure è una chiave univoca lunga nell'URL e no, non posso nominarli dalla parte superiorela mia testa.Ma sì, la maggior parte delle volte il collegamento porta alla pagina con le istruzioni su come ripristinarlo, ma in realtà non ripristina la modifica con un clic.
@user1306322 che ha più senso per me e corrisponde alla mia esperienza
Inoltre: le vulnerabilità CSRF o XSS non saranno in grado di assumere banalmente il controllo di un account.
@Ajedi32 Un link di ripristino sarebbe una buona idea per le situazioni in cui cambiano la password e l'e-mail.
@schroeder purtroppo non abbastanza provider hanno questo pulsante "ripristina".È fantastico comunque.Mi ha davvero salvato il culo quando qualcuno ha fatto irruzione nel mio account rockstar
Matthew
2017-06-15 14:38:38 UTC
view on stackexchange narkive permalink

Due ragioni principali:

  1. Se la tua sessione è compromessa (ad esempio lasci il computer e qualcun altro salta, o c'è una vulnerabilità di compromissione della sessione remota), impedisce a un'altra persona di cambiare la password, bloccandoti dal tuo account.
  2. Se stai imponendo una modifica della password, puoi controllare che la vecchia e la nuova password non corrispondano, senza dover memorizzare la vecchia password in un modulo recuperabile: puoi controllarlo, quindi verificare che il nuovo non sia lo stesso, anche con hash delle password completamente salati. Sebbene sia possibile controllare le corrispondenze esatte solo con l'hash, non consente controlli come "assicurarsi che la nuova password non sia la vecchia password con l'ultima cifra incrementata di uno", che a volte sono richiesti da applicazioni più sensibili
Ho anche un pensiero se la mia sessione è compromessa. Ma a meno che l'email dell'utente e le domande secondarie non siano controllate anche dalla conferma della password, può comunque modificare la mia email. Ho visto molti moduli php che la scheda email è diversa dalla scheda password.Comunque, grazie Matteo.
Questi altri campi sensibili (come l'e-mail) * dovrebbero * essere protetti con lo stesso meccanismo di sicurezza.Non tutti i siti richiedono quel livello di cura, ma è qualcosa che dovrebbe essere fatto.
Le password salvate spesso precompilano la pagina di accesso ma hanno meno probabilità di precompilare la pagina di reimpostazione della password, richiedendo all'utente di conoscere esplicitamente la vecchia password, invece di salvarla.
Ho trovato più di un sito che ha trovato un modo per disabilitare la funzione di pre-riempimento offerta da alcuni browser.Capito o fortunato.:-)
@Matthew Potresti anche farlo prendendo la nuova password, * decrementando * una cifra finale e hashing per vedere se è la vecchia password, ma avere vecchia e nuova potrebbe essere conveniente per alcuni controlli.
@WGroleau Ho trovato un'estensione che ostacola almeno uno dei modi in cui alcuni siti hanno scoperto per disabilitare la funzione di pre-riempimento.(Nel caso tu stia pensando che sto esponendo le mie credenziali all'estensione: tutto ciò che fa è controllare l'HTML per un attributo che dice al browser "non riempire automaticamente questo campo" nei campi nome utente e password e rimuovere quell'attributose trovato.)
A meno che tu non abbia studiato il codice sorgente, non sai se _any_ estensione ti sta spiando.
@WGroleau> la generazione di un id / nome completamente casuale per il campo di solito disabilita il pre-riempimento (il browser non lo abbina a nessun campo di cui è a conoscenza), fwiw.
@DavidConrad (1) Il controllo delle distanze di martellamento di 1 o 2 non è significativamente rallentato dall'hashing;e (2) se non si desidera che le persone scelgano password simili, a quanto pare non le stanno cambiando volontariamente: non è consigliabile forzare la modifica della password (vedere la raccomandazione NIST, una ricerca Microsoft del 2008 o qualcosa del genere, e conoscenza comune di cosatipo di password che le persone scelgono in tali eventi).
@Luc Stavo semplicemente sottolineando che era possibile, non suggerendo che il test per tali password simili dovrebbe essere fatto, né stavo sostenendo di forzare le modifiche della password.
@MatthieuM.Confrontando gli hash non è possibile identificare che la vecchia password di un utente era Password1 e la sua nuova è Password2.Come menzionato da Matthew, usando la vecchia password puoi controllare la nuova password contro permutazioni comuni che renderebbero la nuova password meno sicura se la vecchia viene compromessa
@GroundZero: Bene, Matthew ha menzionato le corrispondenze fuzzy * dopo * il mio commento, quindi immagino che significhi che posso rimuoverlo ora che è stato preso in considerazione.E in effetti, sono d'accordo che controllare che le due password differiscano sostanzialmente sia una buona idea.
@WGroleau Vale la pena sottolineare che è necessario leggere la fonte sul proprio dispositivo locale, non la fonte pubblica in rete, poiché non vi è alcuna garanzia che sia effettivamente installato
Vero.Si dovrebbe compilare il sorgente letto per essere sicuri di cosa è installato.E anche allora non sei sicuro al 100%: https://scienceblogs.com/goodmath/2007/04/15/strange-loops-dennis-ritchie-a
Spencer Joplin
2017-06-16 02:23:34 UTC
view on stackexchange narkive permalink

Per aumentare le altre risposte, aggiungerò per confermare che la tastiera funziona come desidera l'utente.

BLOC MAIUSC può invertire le maiuscole e BLOC NUM cambiare se digitando ad es un "4" sulla tastiera sposterà invece il cursore a sinistra. Alcune interfacce mostrano un avviso, ma molte no.

La maggior parte dei sistemi operativi ha layout di tastiera software. Essere in grado di digitare correttamente la vecchia password è una buona prova che intendi utilizzare il layout corrente.

Ho anche smesso di funzionare singoli tasti, il che causa frustrazione mentre cerchi di risolvere il motivo per cui non puoi accedi da qualsiasi altra tastiera.

"Ho anche smesso di funzionare singoli tasti, il che causa frustrazione durante la risoluzione dei problemi per cui non è possibile accedere da qualsiasi altra tastiera."Vuoi dire che hai * impostato * la password da una tastiera rotta e quindi non sei riuscito ad accedere su nessun'altra tastiera?: D Wow, in realtà è uno scenario davvero interessante.
@Wildcard Una volta ho avuto una situazione in cui il layout della mia tastiera è cambiato tra l'impostazione della password e l'accesso in seguito.Immagina di risolvere questi problemi in situazioni in cui non puoi leggere la password in testo normale.Era un login di Windows e il layout della tastiera del mio utente era diverso da quello del sistema operativo
Steam aveva (ha?) Un problema con la modalità Big Picture e alcuni controller, in cui alcuni dei tasti mostrati sull'interfaccia non corrispondono a ciò che viene effettivamente inserito quando si preme il pulsante del controller.Quindi, se imposti un codice di accesso con una tastiera, potresti non essere in grado di inserirlo su un controller e viceversa.
Sarah G.
2017-06-15 14:51:20 UTC
view on stackexchange narkive permalink

Penso che confermare la vecchia password non ti aiuti a proteggere il tuo account nel caso in cui hai perso la password. Ma ha senso quando nessuno ha rubato la tua password, perché fa in modo che tu sia l'unico che può cambiare la tua password (perché solo tu conosci la tua password). Ad esempio, nessuno conosce la tua password di Facebook, ma hai già effettuato l'accesso a Facebook con il tuo account sul tuo cellulare, quindi il tuo amico prende in prestito il tuo telefono. Se lui / lei vuole cambiare la tua password, è impossibile senza conoscere la tua password attuale.

Bene, potrebbero semplicemente reimpostare la password e aprire la tua email, ma l'idea è giusta.
Questo è un duplicato del numero 1 in [questa risposta] (https://security.stackexchange.com/a/162024/125213) sopra.
A meno che non sia il tuo account Skype e hai perso la password.Allora sei solo fregato.(Puoi continuare a utilizzare l'account Skype sui dispositivi su cui hai effettuato l'accesso, ma una volta che diventano obsoleti e non supportati sarai per sempre bloccato.) (Il processo di reimpostazione della password Skype è quasi impossibile da ottenere approvato.)
i--
2017-06-20 13:36:04 UTC
view on stackexchange narkive permalink

Serve per aiutarti a mantenere l'account con te stesso.

Alcuni scenari

  1. Il tuo cookie viene rubato da qualcuno tramite un middleware o altri metodi , quindi se il sito non ti ha richiesto la vecchia password, possono cambiare la password e l'email di recupero e quindi l'account non ti appartiene più.

  2. Se qualcuno ha accesso al tuo sistema a cui hai effettuato l'accesso, può cambiare la password e quindi l'email di recupero e quindi l'account non ti appartiene più.

freb
2020-08-16 21:58:00 UTC
view on stackexchange narkive permalink

Protezione CSRF (Cross-Site Request Forgery). Questo probabilmente non è il motivo principale, ma i siti che altrimenti non utilizzano alcuna protezione CSRF ma richiedono la vecchia password per le modifiche della password hanno protetto almeno quella richiesta dagli attacchi CSRF.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...