Come fa il sistema a sapere quando una password contiene parti di una password precedente?

Question

Probabilmente una domanda di base. Conosco molte password di hash e di sale dei servizi online invece di memorizzarle come testo normale per motivi di sicurezza. Il portale web della mia università richiede agli studenti di cambiare la password ogni 6 mesi. Da quello che so, il sistema è basato sul software Oracle.

La mia domanda è, tuttavia, come fa il sistema a sapere quando la mia password lunga 20 caratteri (con maiuscole, numeri e simboli) contiene 3 caratteri nello stesso ordine della nuova password che sto provando ad impostare? Se le password sono sottoposte a hash, l'algoritmo non dovrebbe essere a senso unico? O è possibile che il sistema crittografa le password in chiaro e le memorizzi? Non sarebbe meno sicuro?

Scusate se la domanda è difficile da capire. Fammi sapere se hai bisogno di me per chiarire. Grazie in anticipo!

Answer 1

Se è necessario immettere la password precedente durante la creazione di una nuova, il sistema può confrontarle direttamente. Questo potrebbe anche essere fatto sul lato client.

EDIT

Ci sono solo poche altre possibilità

• Essi memorizzare la password in chiaro (nel qual caso si dovrebbe licenziare l'intero reparto IT)
• Il loro metodo di crittografia è a due vie cioè può essere decifrato (nel qual caso devono licenziare l'intero reparto IT)
• Memorizzano temporaneamente la password quando si effettua il login. Forse in un cookie o sul server. (Nel qual caso devono licenziare l'intero reparto IT)

Answer 2

È probabile che la precedente tabella delle password sia crittografata (possibilmente utilizzando rot26).

Answer 3

Il sistema può solo verificare se la nuova password corrisponde esattamente alla vecchia password (confronta gli hash). Se controlla le corrispondenze di sottostringa, è probabile che le password vengano archiviate in testo normale.

No bueno.

EDIT: O quello che Nick ha detto, naturalmente.