系统如何知道密码何时包含先前密码的部分内容？

Question

可能是一个超级基本的问题。我知道许多在线服务都使用哈希密码和盐密码，而不是出于安全目的将它们存储为明文。我大学的门户网站要求学生每 6 个月更改一次密码。据我所知，该系统是基于Oracle软件构建的。

然而，我的问题是，系统如何知道我的 20 个字符长的密码（包含大写字母、数字和符号）何时包含与我尝试设置的新密码顺序相同的 3 个字符？如果密码经过哈希处理，算法不应该是单向的吗？或者系统是否有可能将明文密码加密并存储？那不是更不安全吗？

抱歉，如果问题很难理解。如果您需要我澄清，请告诉我。提前致谢！

Answer 1

如果您在创建新密码时需要输入以前的密码，系统可以直接比对它们。这甚至可以在客户端完成。

编辑

只有几种其他可能性

• 他们以明文形式存储您的密码（在这种情况下他们应该解雇他们的整个IT部门）
• 他们的加密方法是双向的，即可以解密（在这种情况下他们应该解雇他们的整个IT部门）
• 当您登录时，它们会临时存储您的密码。可能在 cookie 中或在服务器上。 （在这种情况下，他们应该解雇整个 IT 部门）

Answer 2

先前的密码表很可能已加密（可能使用 rot26）。

Answer 3

系统只能检查新密码是否与旧密码完全匹配（比较哈希值）。如果它检查子字符串匹配，则密码可能以明文形式存储。

没有布埃诺。

编辑：当然，或者尼克说的话。