Nếu mật khẩu được lưu trữ băm, làm thế nào một máy tính biết rằng mật khẩu của bạn giống với mật khẩu cuối cùng nếu bạn thử đặt lại mật khẩu của mình? Không phải hai mật khẩu sẽ hoàn toàn khác nhau vì một mật khẩu được băm và không thể đảo ngược?
Nếu mật khẩu được lưu trữ băm, làm thế nào một máy tính biết rằng mật khẩu của bạn giống với mật khẩu cuối cùng nếu bạn thử đặt lại mật khẩu của mình? Không phải hai mật khẩu sẽ hoàn toàn khác nhau vì một mật khẩu được băm và không thể đảo ngược?
Câu trả lời:
Một cách để thực hiện điều này là nếu bạn đặt lại mật khẩu, bạn cũng thường được yêu cầu nhập mật khẩu cũ. Bạn chỉ có thể sử dụng so sánh chuỗi tương tự thông thường trong tình huống đó bởi vì bạn có cả mật khẩu ở dạng văn bản gốc tại thời điểm đó.
Một cách khác để thực hiện điều này là bình thường hóa mật khẩu, ví dụ các ký tự có dấu được chuẩn hóa thành bảng chữ cái tiếng Anh gần nhất, cố gắng phiên âm văn bản theo ngữ âm, xóa số, v.v. và bằng cách tính toán trước nhiều phiên bản băm được tạo từ mật khẩu. đã được bình thường hóa theo những cách khác nhau. Lưu ý rằng điều này làm suy yếu cơ chế băm bởi số lượng không xác định. Tôi sẽ không coi đó là thực hành tốt nhất về an ninh.
Câu trả lời đơn giản là một hệ thống an toàn không biết chúng có giống nhau không.
Nhưng một số hệ thống cố tình giảm bảo mật cho một mật khẩu cụ thể trong một số trường hợp để ngăn mật khẩu mới trở thành mật khẩu cũ hoặc tương tự với chúng. Sự đánh đổi lợi ích chi phí là một mật khẩu mới sẽ được tạo ra trước khi ai đó bẻ khóa mật khẩu hiện tại ngay cả với thông tin tương tự.
Nói chung, mỗi kỹ thuật này làm giảm tính bảo mật của mật khẩu.
Giữ mật khẩu cũ làm giảm tính bảo mật của những mật khẩu đó. Nếu bất kỳ mật khẩu nào trong số đó bị bẻ khóa, có khả năng cao là mật khẩu hiện tại sẽ giống với chúng, hầu hết mọi người chỉ thay đổi một số.
Thumbing và thống kê có thể loại bỏ đoán mật khẩu xấu nhanh hơn so với cố gắng băm đoán và so sánh. Điều này là do băm, đặc biệt là băm an toàn rất phức tạp để tính toán và mất công sức, ngay cả khi phần cứng được tăng tốc. Mặc dù một phép tính đơn giản hơn nói rằng 'chắc chắn không' hoặc 'có thể' có thể loại bỏ hầu hết các dự đoán đó, nhưng sau tất cả các kiểm tra tương tự đều có nghĩa là ngăn bạn sử dụng mật khẩu tương tự, không sử dụng mật khẩu hoàn toàn mới trông không giống với mật khẩu cũ.
Tóm lại, hãy cảnh giác với bất kỳ trang web nào chỉ ra một biện pháp tương tự với mật khẩu hiện tại / cũ của bạn. Trừ khi họ nói rằng mật khẩu mới là mật khẩu cũ.
Nếu mật khẩu được lưu trữ băm, làm thế nào một máy tính biết rằng mật khẩu của bạn giống với mật khẩu cuối cùng nếu bạn thử đặt lại mật khẩu của mình? Không phải hai mật khẩu sẽ hoàn toàn khác nhau vì một mật khẩu được băm và không thể đảo ngược?
Bạn tạo nhiều mật khẩu tương tự từ mật khẩu người dùng đã nhập và kiểm tra xem có bất kỳ băm nào của chúng khớp với một trong những mật khẩu cũ hay không.
Một mô hình khác là hệ thống của bạn băm một số tập hợp con đặc trưng của mật khẩu của bạn và lưu trữ các giá trị băm đó để kiểm tra xem các tập hợp con của mật khẩu mới có khớp với bất kỳ mật khẩu cũ nào không, ví dụ: password: "Admin2018" & tập hợp con: "Admin" = không thể nhập "Admin2019" như cái mới