我早些时候偶然发现了这个问题,这让我开始思考。每个人都遇到过要求您每 x 天更改一次密码并且不能重复使用您最近 y 次密码的系统。这种事情一直让我隐隐约约不安——旧密码是如何存储的?不应该完全删除旧密码吗?不这样做不是不安全吗?
有什么我错过或忘记考虑的吗?
AskOverflow.Dev
我早些时候偶然发现了这个问题,这让我开始思考。每个人都遇到过要求您每 x 天更改一次密码并且不能重复使用您最近 y 次密码的系统。这种事情一直让我隐隐约约不安——旧密码是如何存储的?不应该完全删除旧密码吗?不这样做不是不安全吗?
有什么我错过或忘记考虑的吗?
可以使用不存储密码的散列存储密码,而是使用表示密码的数字。哈希通常无法转换回密码,因此安全漏洞几乎不可能让任何人获得原始密码。例如,一个简单的散列可能会分配 A=1 B=2 C=3 等等……然后将密码中相应字母的所有值相加。如果您以前使用过该密码,则哈希将始终匹配,但无法通过知道哈希来获取原始密码。
因此,当然可以在不知道密码是什么的情况下知道以前是否使用过密码。但是,是否有任何特定网站使用此方法……您无法确定。
编辑 - 请注意,上面的示例非常简单,仅用于传达哈希的概念。这不是你应该在现实世界中计算哈希的方式,尤其是因为密码的普遍性会产生相同的哈希。
编辑 2 - 更好的链接可能是http://en.wikipedia.org/wiki/Cryptographic_hash_function,它描述了密码学上下文中的哈希。前面的哈希链接在分组数据的上下文中更多地讨论了它们,它们也可以用于这些。