Pytanie:
Jaki jest cel potwierdzenia starego hasła przy tworzeniu nowego hasła?
ronaldtgi
2017-06-15 14:33:20 UTC
view on stackexchange narkive permalink

enter image description here

Załóżmy, że ktoś ukradł moje hasło, może je łatwo zmienić, potwierdzając stare hasło.

Więc ja jestem ciekaw, dlaczego potrzebujemy tego kroku i jaki jest cel używania potwierdzenia starego hasła?

Należy pamiętać, że z powodów podanych w odpowiedziach, aby były skuteczne, ta polityka (lub podobna) musi mieć zastosowanie do wszystkich funkcji kontroli konta.Na przykład.zmiana adresu e-mail konta, w którym dostępna jest funkcja resetowania hasła.
@ronaldtgi Zakładam, że sugerujesz „dlaczego potrzebujemy tego kroku _ *, jeśli jesteśmy już zalogowani * _, czy to prawda? W przeciwnym razie pytanie wydaje się głupie.
Jest to również podobne do wymagania ponownego wpisania hasła podczas wydawania polecenia „sudo” na komputerze z systemem Linux.W przeciwnym razie odsuwam się na 30 sekund bez blokowania komputera, ktoś szybko wpisuje „złośliwe polecenie sudo” i jestem w kontakcie, nawet jeśli ta osoba właśnie użyła uprawnień roota, mimo że nie byłem zalogowany jako root.Lub jak monit UAC systemu Windows, który otrzymujesz podczas instalowania czegoś.To tylko dodatkowe bramki, które zapewniają warstwy ochrony.
„Załóżmy, że ktoś ukradł moje hasło, może je łatwo zmienić, potwierdzając stare hasło”.Rzeczywiście, ale gdyby system nie pytał o stare hasło, brzmiałoby to: „Przypuśćmy, że ktoś w ogóle nie znał mojego hasła, może łatwo zmienić je na dowolne”.Czy to brzmi dla ciebie bezpiecznie?
@oerkelens To drugie stwierdzenie jest niepoprawne i zawyża problem.Powinno brzmieć: „Przypuśćmy, że ktoś w ogóle nie znał mojego hasła, może łatwo zmienić je na dowolne *, jeśli ma dostęp do systemu, w którym jestem już zalogowany *”.W zależności od kontekstu może to mieścić się w akceptowalnych granicach bezpieczeństwa.Na przykład.Prawdopodobnie nie wymagam, aby mój system antywłamaniowy pytał mnie o mój stary kod, gdy chcę go zmienić, ponieważ nie ma realistycznego scenariusza, w którym miałoby to znaczenie.
@Aaron, rzeczywiście tak.Gdybym zadał pytanie, jakbym się wylogowywał i chciał edytować hasła, byłoby to bardziej głupie.
Zastanawiam się, ile osób stosuje to z rozumowaniem
A jeśli ktoś znajdzie sposób na całkowite ominięcie systemu logowania?Wymuszenie użycia hasła podczas zmiany hasła zapobiega zablokowaniu dostępu przez hakera.To prawda, nadal będą mieć dostęp, ale przynajmniej * ty * nadal możesz wejść. Nie jest to prawdziwa odpowiedź.Tylko drobna myśl.Mogę się całkowicie mylić.
wejście do sesji! = kradzież hasła
najlepiej dodać pytanie ochronne
Sześć odpowiedzi:
schroeder
2017-06-15 14:36:37 UTC
view on stackexchange narkive permalink

Jeśli jesteś zalogowany i usiądę do komputera, mogę zablokować Ci dostęp do konta i przenieść własność na siebie.

Heh masz rację, twoja odpowiedź i tak była lepsza.
Często widzę, że po zmianie hasła na adres, na który się zarejestrowałeś, wysyłany jest e-mail (lub jeśli była to zmiana adresu e-mail, 2 e-maile są wysyłane na nowy i stary adres) ze specjalnym adresem URL „przywróć tę zmianę” naunikaj tylko tego rodzaju przejęć.
@user1306322 Przyznaję, że nigdy nie widziałem opcji „cofnij tę zmianę”, a jedynie informację, że coś próbowano.Czy wiesz, które usługi oferują opcję „cofnięcia”?
@schroeder Większość wiadomości e-mail ze „zmienionym hasłem”, które widziałem, zwykle nie zawiera bezpośrednio przycisku „cofnij tę zmianę”, ale zazwyczaj _do_ zawiera instrukcje, co zrobić, jeśli to nie Ty zainicjowałeś zmianę.Zwykle te instrukcje nakazują zresetowanie hasła za pomocą normalnego procesu odzyskiwania konta za pośrednictwem poczty e-mail, co jest prawdopodobnie lepsze niż zwykłe cofnięcie zmiany, ponieważ osoba, która zmieniła hasło, prawdopodobnie ma już stare.
@schroeder albo prowadzi do strony, na której możesz wprowadzić swoje dane uwierzytelniające (które nadal masz) lub numery zapasowe, jak na kontach Google, albo jest to długi unikalny klucz w adresie URL i nie, nie mogę ich nazwać od początkumoja głowa.Ale tak, w większości przypadków link prowadzi do strony z instrukcjami, jak to cofnąć, ale w rzeczywistości nie cofa zmiany jednym kliknięciem.
@user1306322, który ma dla mnie więcej sensu i pasuje do mojego doświadczenia
Ponadto: luki CSRF lub XSS nie będą w stanie w prosty sposób przejąć konta.
@Ajedi32 Link przywracania byłby dobrym pomysłem w sytuacjach, w których zmieniają hasło i adres e-mail.
@schroeder niestety niewystarczająca liczba dostawców ma ten przycisk „cofnij”.Ale to świetnie.Naprawdę uratował mi tyłek, gdy ktoś włamał się na moje konto Rockstar
Matthew
2017-06-15 14:38:38 UTC
view on stackexchange narkive permalink

Dwa główne powody:

  1. Jeśli twoja sesja jest zagrożona (np. opuszczasz komputer i ktoś inny wskakuje, lub istnieje luka w zabezpieczeniach sesji zdalnej), uniemożliwia to innej osobie zmianę hasło, blokując dostęp do własnego konta.
  2. Jeśli wymuszasz zmianę hasła, możesz sprawdzić, czy stare i nowe hasło nie pasują do siebie, bez konieczności przechowywania starego hasła w odzyskiwalny formularz - możesz go sprawdzić, a następnie sprawdzić, czy nowy nie jest taki sam, nawet z całkowicie zasolonymi hasłami. Chociaż możesz sprawdzić dokładne dopasowania za pomocą samego skrótu, nie pozwala to na kontrole, takie jak „upewnij się, że nowe hasło nie jest starym hasłem z ostatnią cyfrą zwiększoną o jeden”, które są czasami wymagane przez bardziej wrażliwe aplikacje
Mam też pomysł, czy moja sesja jest zagrożona. Ale jeśli adres e-mail użytkownika i dodatkowe pytania również nie są kontrolowane przez potwierdzenie hasła, nadal może on zmienić mój adres e-mail. Widziałem wiele formularzy php, że zakładka e-mail różni się od zakładki hasła.W każdym razie, dzięki Matthew.
Te inne wrażliwe pola (takie jak e-mail) * powinny * rzeczywiście być chronione tym samym mechanizmem bezpieczeństwa.Nie każda witryna wymaga takiej uwagi, ale należy to zrobić.
Zapisane hasła często są wypełniane wstępnie na stronie logowania, ale jest mniej prawdopodobne, że zostaną wypełnione wstępnie na stronie resetowania hasła, wymagając od użytkownika wyraźnej znajomości starego hasła, a nie tylko jego zapisania.
Znalazłem więcej niż jedną witrynę, która znalazła sposób na wyłączenie funkcji wypełniania wstępnego oferowanej przez niektóre przeglądarki.Zorientowałem się lub miałem szczęście.:-)
@Matthew Możesz nawet to zrobić, biorąc nowe hasło, * zmniejszając * ostatnią cyfrę i haszując, aby sprawdzić, czy jest to stare hasło, ale posiadanie starego i nowego może być wygodne w przypadku niektórych kontroli.
@WGroleau Znalazłem rozszerzenie, które udaremnia co najmniej jeden ze sposobów, w jaki niektóre witryny zorientowały się, aby wyłączyć funkcję wypełniania wstępnego.(Jeśli myślisz, że ujawniam moje dane logowania do rozszerzenia: wszystko, co robi, to sprawdzenie kodu HTML pod kątem atrybutu, który mówi przeglądarce „nie wypełniaj automatycznie tego pola” w polach nazwy użytkownika i hasła, oraz usunięcie tego atrybutuJeśli znaleziono.)
Dopóki nie zapoznałeś się z kodem źródłowym, nie wiesz, czy nie szpieguje Cię _jakie_ rozszerzenie.
@WGroleau> generowanie w pełni losowego identyfikatora / nazwy dla pola zazwyczaj wyłącza wstępne wypełnianie (przeglądarka nie dopasowuje go do żadnego znanego jej pola), fwiw.
@DavidConrad (1) Sprawdzanie odległości hamowania 1 lub 2 nie jest znacząco spowalniane przez haszowanie;i (2) jeśli nie chcesz, aby ludzie wybierali podobne hasła, to najwyraźniej nie zmieniają ich dobrowolnie: wymuszanie zmian haseł nie jest zalecane (zobacz zalecenie NIST, badanie firmy Microsoft z 2008 r. lub coś w tym rodzaju, a powszechnie wiadomorodzaj haseł, które ludzie wybierają na takich imprezach).
@Luc Po prostu wskazywałem, że jest to możliwe, nie sugerując, że należy testować takie podobne hasła, ani nie opowiadałem się za wymuszaniem zmiany hasła.
@MatthieuM.Porównując skróty, nie można stwierdzić, że stare hasło użytkownika to Hasło1, a nowe to Hasło2.Jak wspomniał Matthew, używając starego hasła, możesz sprawdzić nowe hasło pod kątem typowych permutacji, które sprawią, że nowe hasło będzie mniej bezpieczne, jeśli stare zostanie naruszone
@GroundZero: Cóż, Matthew wspomniał o dopasowaniach rozmytych * po * moim komentarzu, więc myślę, że oznacza to, że mogę je usunąć teraz, gdy zostało to uwzględnione.I rzeczywiście, zgadzam się, że sprawdzenie, czy te dwa hasła istotnie się różnią, jest dobrym pomysłem.
@WGroleau Warto zaznaczyć, że należy czytać źródło na swoim urządzeniu lokalnym, a nie publiczne źródło w sieci, ponieważ nie ma gwarancji, że jest to faktycznie zainstalowane
Prawdziwe.Aby mieć pewność, co jest zainstalowane, należałoby skompilować przeczytane źródło.Nawet wtedy nie jesteś w 100% bezpieczny: https://scienceblogs.com/goodmath/2007/04/15/strange-loops-dennis-ritchie-a
Spencer Joplin
2017-06-16 02:23:34 UTC
view on stackexchange narkive permalink

Aby rozszerzyć inne odpowiedzi, dodam , aby potwierdzić, że klawiatura działa zgodnie z zamierzeniami użytkownika.

Caps lock może odwrócić wielkość liter, a klawisz Num lock - zmienić czy pisząc np „4” na klawiaturze zamiast tego przesunie kursor w lewo. Niektóre interfejsy wyświetlają ostrzeżenie, ale wiele nie.

Większość systemów operacyjnych ma układy klawiatury programowej. Możliwość poprawnego wpisania starego hasła jest dobrym dowodem na to, że zamierzasz używać obecnego układu.

Również poszczególne klawisze przestały działać, co powoduje frustrację podczas rozwiązywania problemów zaloguj się z dowolnej innej klawiatury.

„Również poszczególne klawisze przestały działać, co powoduje frustrację podczas rozwiązywania problemów z logowaniem się z innej klawiatury”.Masz na myśli * ustawiłeś * hasło z zepsutej klawiatury, a następnie nie mogłeś zalogować się na żadnej innej klawiaturze?: D Wow, to naprawdę ciekawy scenariusz.
@Wildcard Kiedyś miałem sytuację, w której układ mojej klawiatury zmieniał się między ustawieniem hasła a późniejszym zalogowaniem.Wyobraź sobie rozwiązywanie tych problemów w sytuacjach, gdy nie możesz odczytać hasła w postaci zwykłego tekstu.To był login Windows, a układ klawiatury mojego użytkownika był inny niż system operacyjny
Steam miał (ma?) Problem z trybem Big Picture i niektórymi kontrolerami, gdzie niektóre klawisze pokazane w interfejsie nie pasują do tego, co jest faktycznie wprowadzane po naciśnięciu tego przycisku kontrolera.Jeśli więc ustawisz hasło za pomocą klawiatury, możesz nie być w stanie wprowadzić go na kontrolerze i odwrotnie.
Sarah G.
2017-06-15 14:51:20 UTC
view on stackexchange narkive permalink

Myślę, że potwierdzenie starego hasła nie pomoże w zabezpieczeniu konta w przypadku utraty hasła. Ale ma to sens, gdy nikt nie ukradł hasła, ponieważ zapewnia, że ​​jesteś jedyną osobą, która może zmienić hasło (ponieważ tylko Ty znasz swoje hasło). Na przykład nikt nie zna Twojego hasła do Facebooka, ale już zalogowałeś się na Facebooku za pomocą swojego konta w telefonie komórkowym, a następnie Twój znajomy pożycza Twój telefon. Jeśli chce zmienić Twoje hasło, nie jest to możliwe bez znajomości Twojego obecnego hasła.

Cóż, mogą po prostu zresetować hasło i otworzyć twoją wiadomość e-mail, ale pomysł jest słuszny.
To jest oszustwo nr 1 w [tej odpowiedzi] (https://security.stackexchange.com/a/162024/125213) powyżej.
Chyba że jest to Twoje konto Skype i zgubiłeś hasło.Wtedy masz przerąbane.(Możesz nadal używać konta Skype na urządzeniach, na których jesteś zalogowany, ale gdy staną się przestarzałe i nie będą obsługiwane, zostaniesz na zawsze zablokowany.) (Proces resetowania hasła Skype jest prawie niemożliwy do zatwierdzenia).
i--
2017-06-20 13:36:04 UTC
view on stackexchange narkive permalink

Ma pomóc Ci zachować konto przy sobie.

Niektóre scenariusze

  1. Twój plik cookie został skradziony przez kogoś za pośrednictwem oprogramowania pośredniczącego lub innymi metodami , a jeśli witryna nie monituje o podanie starego hasła, mogą zmienić Hasło i adres e-mail odzyskiwania , a konto przestanie należeć do Ciebie.

  2. Jeśli ktoś ma dostęp do Twojego systemu, do którego się zalogowałeś, może zmienić hasło, a następnie adres pomocniczy i wtedy konto nie należy już do Ciebie.

freb
2020-08-16 21:58:00 UTC
view on stackexchange narkive permalink

Ochrona przed fałszowaniem żądań między witrynami (CSRF). Prawdopodobnie nie jest to główny powód, ale strony, które w inny sposób nie używają żadnej ochrony CSRF, ale wymagają starego hasła do zmiany hasła, chroniły przynajmniej to jedno żądanie przed atakami CSRF.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...