Nic*_*ndo 3 passwords hash plaintext
我的一个SaaS软件供应商要求我每90天更改一次密码,这很好.
令我惊讶的是,密码更改屏幕错误,注意我的 new password is too similar to an old password.
如果我在密码中更改少于三个或四个字符,则最常发生这种情况.
如果它与旧密码完全匹配,我会相信他们正在哈希我的密码,并比较哈希."相似性"匹配使我认为它们存储和比较明文版本.
是否可以通过比较一个哈希与另一个哈希来确定"相似性",或者该供应商是否更有可能以明文形式存储我的密码?
这是可能的.每当您更改密码时,软件都可以为相同密码的所有组合创建哈希码,并隐藏或删除一些字符.
如果您的密码hello,就可以创建散列码为_ello,h_llo,he_lo,hel_o,hell_,__llo,_e_lo,_ell_,he_l_,he__o... et.c.
下次更改密码时,它可以创建该密码的同一组合,并与之前的所有哈希代码进行比较.如果匹配,则只更改几个字符.
当然,以纯文本保存密码要简单得多.