Ricordare le password

Mi sono imbattuto in precedenza in questa domanda e mi ha fatto pensare. Tutti hanno incontrato sisthemes che richiedono di modificare la password each x giorni e non riutilizzare nessuna delle tue ultime password. Questo tipo di cose mi ha sempre lasciato vagamente sconvolto – come vengono memorizzate le vecchie password? Le vecchie password non dovrebbero essere cancellate interamente? Non è insicuro di non farlo?

C'è qualcosa che mi manca o dimentico di pensare qui?

  • Devo eliminare i file .pfx o .cer dopo l'importzione del cert SSL?
  • Potrebbe / dovrebbero essere ritenuti responsabili per le vulnerabilità del server?
  • VP richiede l'accesso amministrativo al PC per l'installazione di applicazioni - Qual è una buona strategia di contenimento?
  • Come impedire la copia delle macchine virtuali
  • Come posso impedire agli utenti di vedere il codice sorgente PHP?
  • Consenti solo connessioni ssh a un dominio specifico
  • One Solution collect form web for “Ricordare le password”

    Le password possono essere memorizzate usando gli hash che non memorizzano la password, ma un numero che rappresenta la password. L'hash di solito non può essere riacceso nella password in modo da avere poca probabilità che un compromesso di sicurezza metta in networking nessuno la password originale. Ad esempio, un hash semplice può assegnare A = 1 B = 2 C = 3, ecc … e quindi riassumere tutti i valori per le lettere corrispondenti nella password. Se hai usato la password prima, l'hash corrisponderà sempre, ma non c'è modo di get la password originale conoscendo la hash.

    Quindi, è certamente ansible sapere se una password è stata utilizzata in precedenza senza realmente sapere che cosa era la password. Sia che un determinato sito web utilizzi questo metodo, comunque … non puoi essere sicuro.

    EDIT – notare che l'esempio sopra è estremamente semplice, solo per introdurre il concetto di hash. Questo non è il modo in cui si dovrebbe calcolare un hash nel mondo reale, non ultimo dei quali a causa della prevalenza di password che avrebbe prodotto lo stesso hash.

    EDIT 2 – un collegamento migliore potrebbe essere http://en.wikipedia.org/wiki/Cryptographic_hash_function , che descrive gli hashi nel context della crittografia. Il collegamento precedente a hashes parla di loro più nel context del raggruppamento dei dati, che possono anche essere utilizzati.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.