it-swarm.com.de

Was ist der Zweck der Bestätigung des alten Passworts, um ein neues Passwort zu erstellen?

(enter image description here

Angenommen, jemand hat mein Passwort gestohlen, er kann es leicht ändern, indem er das alte Passwort bestätigt.

Ich bin gespannt, warum wir diesen Schritt brauchen und wozu die alte Passwortbestätigung verwendet wird.

93
ronaldtgi

Wenn Sie angemeldet sind und ich mich an Ihren Computer setze, kann ich Sie von Ihrem Konto sperren und das Eigentum auf mich selbst übertragen.

347
schroeder

Zwei Hauptgründe:

  1. Wenn Ihre Sitzung gefährdet ist (z. B. wenn Sie den Computer verlassen und eine andere Person darauf springt oder eine Sicherheitsanfälligkeit bezüglich einer Remote-Sitzungskompromittierung vorliegt), wird verhindert, dass eine andere Person das Kennwort ändert und Sie von Ihrem eigenen Konto ausgeschlossen werden.
  2. Wenn Sie eine Kennwortänderung erzwingen, können Sie überprüfen, ob das alte und das neue Kennwort nicht übereinstimmen, ohne das alte Kennwort in einer wiederherstellbaren Form speichern zu müssen. Sie können es überprüfen und dann überprüfen, ob das neue Kennwort nicht das richtige ist Gleiches gilt auch für vollständig gesalzene Passwort-Hashes. Während Sie genaue Übereinstimmungen nur mit dem Hash überprüfen können, sind keine Überprüfungen wie "Sicherstellen, dass das neue Kennwort nicht das alte Kennwort mit der letzten um eins erhöhten Ziffer ist" zulässig, die manchmal von sensibleren Anwendungen benötigt werden
143
Matthew

Um die anderen Antworten zu ergänzen, füge ich hinzu, um zu bestätigen, dass die Tastatur wie vom Benutzer beabsichtigt funktioniert.

Die Feststelltaste kann den Fall umkehren, und die Num-Sperre kann ändern, ob die Eingabe von z. Eine "4" auf der Tastatur bewegt stattdessen den Cursor nach links. Einige Schnittstellen zeigen eine Warnung an, viele jedoch nicht.

Die meisten Betriebssysteme verfügen über Software-Tastaturlayouts. Die korrekte Eingabe Ihres alten Passworts ist ein guter Beweis dafür, dass Sie das aktuelle Layout verwenden möchten.

Ich habe auch festgestellt, dass einzelne Tasten nicht mehr funktionieren, was zu Frustration führt, wenn Sie Fehler beheben, warum Sie sich nicht über eine andere Tastatur anmelden können.

95
Spencer Joplin

Ich denke, dass die Bestätigung des alten Passworts Ihnen nicht hilft, Ihr Konto zu sichern, falls Sie Ihr Passwort verloren haben. Es ist jedoch sinnvoll, wenn niemand Ihr Passwort gestohlen hat, da dadurch sichergestellt wird, dass Sie der einzige sind, der Ihr Passwort ändern kann (da nur Sie Ihr Passwort kennen). Zum Beispiel kennt niemand Ihr Facebook-Passwort, aber Sie haben sich bereits mit Ihrem Konto auf Ihrem Handy bei Facebook angemeldet, und dann leiht Ihr Freund Ihr Handy aus. Wenn er/sie Ihr Passwort ändern möchte, ist dies ohne Kenntnis Ihres aktuellen Passworts nicht möglich.

10
Sarah G.

Es soll Ihnen helfen, das Konto bei sich zu behalten.

Einige Szenarien

  1. Ihr Cookie wird von jemandem über eine Middleware oder auf andere Weise gestohlen. Wenn Sie auf der Website nicht zur Eingabe eines alten Kennworts aufgefordert wurden, kann dieser die Kennwort- und Wiederherstellungs-E-Mail ändern, und das Konto gehört nicht mehr dazu für dich.

  2. Wenn jemand Zugriff auf Ihr System hat, bei dem Sie sich angemeldet haben, kann er das Kennwort ändern und dann die E-Mail wiederherstellen, und das Konto gehört Ihnen nicht mehr.

2
i--