检查密码复杂性：与最后 X 个密码不同

Question

大多数服务、程序等都有各种密码复杂性检查。在没有深入研究此类检查的功效的情况下，我想到了一个可能有趣但也可能存在问题的检查：

“新密码必须与上次的 X 密码不同，有 Y 个字符。”

这将阻止人们使用诸如 Password1! 之类的密码。 ， 密码2！，等等。但如果这样做了，人们就无法对以前使用的密码进行哈希处理 - 它们最多只能被加密......对吗？

对于较小的 Y 和相当短的密码，您可能仍然可以存储哈希并暴力破解新密码的所有 Y 字母变体，但这变得不可行，因为 Y 并且密码长度增加。

我最初的想法是这样的：因为当您更改密码时，您必须提供原始密码，对新密码进行哈希处理并以加密形式存储旧密码。现在它是可逆的。

因此，假设活动密码始终经过哈希处理，是否有更好的方法来做到这一点？这样做是否会增加或降低应用程序的安全性？

Answer 1

我试图将其放入评论中，但我认为这足够重要，可以放入答案。

OP 提出的方案不一定必然违反 CWE-257。该提案不允许系统管理员（比如说）恢复旧密码。

建议使用新密码作为所有旧密码的加密密钥。如果您可以接受客户端而不是服务器上的“新密码验证”，那么这并不比使用密码加密其他任何内容更安全。

因此，“更改密码”小工具将是客户端代码。服务器将发送 N 个早期密码的加密列表，客户端可以使用用户当前的密码对其进行解密，然后使用用户的新密码重新加密。服务器在任何时候都没有足够的信息来确定任何密码，无论是旧的还是新的。只有客户端拥有此信息，但无论如何它都有......不同之处在于，了解您当前密码的攻击者也可以了解您的旧密码。由于得知您当前的密码已经是一场灾难，因此我觉得这并没有那么糟糕。

确实，这并不能防止员工编写自己的密码更改实用程序来绕过密码限制的“攻击”，因为验证不是在服务器端完成的。但我认为这绝不违反 CWE-257。

这实际上是一个相当聪明的想法。

Answer 2

您引用的 Oracle 要求规定密码 n 必须与密码 n-1 充分不同，而不是密码 n 必须与所有以前的密码不同。通常，要更改密码，您需要用户输入当前密码作为其中的一部分。因此，您拥有实现该要求所需的一切，并且不需要以可逆的方式存储密码（加密、暴力破解等）。

我知道这并不能直接满足最初提出的要求（与最后的 X 个密码不同），但我的感觉是这是一个虚假的要求。您的要求将需要可逆的密码（机制并不重要），大多数专家都会同意这是不正确的。我相信您只是误解了 Oracle 的要求（如果这确实是问题的根源）。

编辑：

好的，我只是想到了一种无需可逆密码即可实现您所要求的方法。我仍然认为您误解了 Oracle 的要求，而且我实际上不会做我将要描述的事情，但它会满足要求，而无需可逆的密码。

1. 选择不允许出现在真实密码中的保留字符。为了讨论方便，假设它是一个反斜杠。
2. 枚举将最多 Y 个反斜杠替换到密码中的所有可能方法，每次对结果进行哈希处理。
3. 仅维护由此生成的最新 X 组哈希值。
4. 当用户选择新密码时，对提交的密码重复该过程，并将其各个哈希值与各个最近的哈希值进行比较。

有点傻，不过应该可以满足要求了。

Answer 3

加密密码明显违反了CWE-257，因此应该永远不会完成。然而，如果密码过期，用户刚刚登录，则保留该密码的明文。然后强制用户更改密码并计算两者之间的汉明距离。一旦用户提供了足够不同的密码，就对这个新密码进行哈希处理并丢弃纯文本。

编辑：
您可以保留所有旧密码的盐+哈希，以确保用户不会选择他过去使用过的密码。但强制密码与所有密码有 N 个字母不同会削弱整个系统，而且成本高昂，因为需要进行 o(n) 次比较。