保存密码历史记录会增加用户的风险吗？

Question

在许多系统中，由于不同的原因(主要是防止用户重用它们)保存密码历史记录是常见的做法。

像这一个这样的答案表明，它们通常保持相同的格式(这是有意义的，以便在密码更改时容易检查)。

像这一个这样的答案表明，它们通常保存在同一个数据库系统中。

这让我不禁纳闷:这难道没有让数据库中的漏洞更糟糕吗?因为攻击者会有多个与用户/电子邮件相关的密码，他们可以尝试登录到其他系统中(因为很多人都有3-4个密码可重用)？

或者，如果你有一个密码的脑力算法，它可以从多个样本中扣除(不确定是否有人会麻烦，但可能是为了一个高调的帐户)。

实际上有额外的风险吗？这有风险吗？在这种情况下，是否有最佳实践来缓解这种情况？

Answer 1

如果系统A阻止人们重复使用密码(因此保留密码历史记录)，则对系统A的安全性有好处。它确保密码定期更改。

如果破解平均密码需要一年时间，但密码每半年更换一次，攻击者就无法从数据泄露中获得多大价值。当然，你不需要成为一个天才来猜测password1和password2之后会发生什么，但它仍然比只保留password更好。

您应该指出，如果攻击者想攻击系统B，那么存储多个散列密码会给攻击者带来更大的价值，因为用户可能已经从系统A重用了密码。但是，如果您的主要关注点是保护系统A的资产，而不是保护您的用户，那么这并不重要。

所以我想说，这是一个你想保护什么的问题。如果您只关心您自己的系统，请输入密码历史记录。如果你关心的是在其他系统中重复使用密码的用户，那就不要担心。人们应该或不应该关心的本质是主观的，所以不能在这里回答。

(还有一种观点认为，强制重新设置密码会使用户选择更糟糕的密码，因此根本不应该这样做。我将把这个问题排除在这个问题之外，因为我不认为这就是问题所在。)

Answer 2

你的问题的答案最终会归结到你认为更重要的事情上。对于许多组织来说，确保密码经常被更改是最重要的。对于其他人来说，确保密码是唯一的很重要。许多用户会在他们第一次创建自己的帐户时输入他们最常用的密码，从而使“使用唯一的密码”系统毫无用处。

现在，如果您正在安全地散列您的密码并安全地存储它们，您可能想继续进行下一次检查--防止成功的蛮力攻击很重要吗？如果您被攻破，您的数据库被窃取，也许确保您的客户不重复使用相同的密码很重要-在这种情况下，您可能希望在允许重用之前将旧密码存储一段时间。

这基本上是一种风险与回报的方案--一方面，你可以确保更好的安全，但在数据库被破坏的情况下，它更危险；而另一方面，如果你不存储旧密码，你就会减少漏洞造成的损失。

问问自己-什么对你来说更重要？