Question:
À quoi sert la confirmation de l'ancien mot de passe pour créer un nouveau mot de passe?
ronaldtgi
2017-06-15 14:33:20 UTC
view on stackexchange narkive permalink

enter image description here

Supposons que quelqu'un a volé mon mot de passe, il / elle peut facilement le changer en confirmant l'ancien mot de passe.

Donc, je Je suis curieux de savoir pourquoi avons-nous besoin de cette étape et quel est le but d'utiliser la confirmation de l'ancien mot de passe?

Notez que pour que les raisons données dans les réponses soient efficaces, cette politique (ou similaire) doit s'appliquer à toutes les fonctionnalités de contrôle de compte.Par exemple.changer l'adresse e-mail du compte, où une fonction de réinitialisation du mot de passe est présente.
@ronaldtgi Je suppose que vous impliquez "pourquoi avons-nous besoin de cette étape _ * si nous sommes déjà connectés * _, est-ce correct? Sinon, la question semble ridicule.
En outre, cela revient à vous demander de retaper votre mot de passe lorsque vous exécutez une commande «sudo» sur un ordinateur Linux.Sinon je m'éloigne pendant 30 secondes sans verrouiller mon PC, quelqu'un tape rapidement "sudo malwarecommand", et je suis arrosé même puisque cette personne vient d'utiliser l'accès root même si je n'étais pas connecté en tant que root.Ou comme l'invite Windows UAC que vous obtenez lors de l'installation de quelque chose.Ce ne sont que des passerelles supplémentaires qui offrent des couches de protection.
"Supposons que quelqu'un a volé mon mot de passe, il / elle peut facilement le changer en confirmant l'ancien mot de passe."En effet, mais si le système ne demandait pas l'ancien mot de passe, cela deviendrait "Supposons que quelqu'un ne connaisse pas du tout mon mot de passe, il / elle peut facilement le changer pour ce qu'il veut".Cela vous semble-t-il sûr?
@oerkelens Cette deuxième déclaration n'est pas correcte et surestime le problème.Cela devrait être "Supposons que quelqu'un ne connaisse pas du tout mon mot de passe, il / elle peut facilement le changer pour ce qu'il veut * s'il a accès à un système où je suis déjà connecté *".Cela peut être dans des limites de sécurité acceptables selon le contexte.Par exemple.Je n'ai probablement pas besoin que mon système d'alarme antivol me demande mon ancien code lorsque je veux le changer, car il n'y a pas de scénario réaliste dans lequel cela importerait.
@Aaron, oui en effet.Si je pose la question comme si j'étais déconnecté et que je voulais modifier les mots de passe, ce serait plus idiot.
Je me demande combien de personnes l'implémentent avec raisonnement
Que faire si quelqu'un trouve un moyen de contourner complètement le système de connexion?Forcer un mot de passe à être utilisé dans le changement de mot de passe empêche un pirate de vous verrouiller.Certes, ils auraient toujours accès, mais au moins * vous * pouvez toujours entrer. Ce n'est pas une vraie réponse.Juste une petite pensée.J'ai peut-être totalement tort.
entrer dans votre session! = voler votre mot de passe
il est préférable d'ajouter une question de sécurité
Six réponses:
schroeder
2017-06-15 14:36:37 UTC
view on stackexchange narkive permalink

Si vous êtes connecté et que je m'assois devant votre ordinateur, je peux vous exclure de votre compte et me transférer la propriété.

Hé tu as raison, ta réponse était meilleure de toute façon.
Souvent, je constate que lorsqu'un mot de passe est modifié, un e-mail est envoyé à l'adresse avec laquelle vous vous êtes inscrit (ou s'il s'agissait du changement d'adresse e-mail, 2 e-mails sont envoyés aux nouvelles et anciennes adresses) avec une URL spéciale "revenir sur cette modification" àéviter juste ce genre de prise de contrôle.
@user1306322 J'avoue que je n'ai jamais vu une option «annuler ce changement», juste un avis que quelque chose a été tenté.Savez-vous quels services offrent les options de «retour»?
@schroeder La plupart des e-mails de "mot de passe modifié" que j'ai vus n'incluent généralement pas de bouton "annuler cette modification", mais ils _do_ incluent généralement des instructions sur ce qu'il faut faire si vous n'êtes pas celui qui a initié le changement.Habituellement, ces instructions vous indiquent de réinitialiser votre mot de passe via le processus normal de récupération de compte par e-mail, ce qui est probablement mieux que de simplement annuler la modification de toute façon, car celui qui a changé votre mot de passe en premier lieu a probablement déjà l'ancien.
@schroeder cela mène soit à la page où vous pouvez entrer vos informations d'identification (que vous avez toujours) ou des numéros de sauvegarde comme dans les comptes Google, soit c'est une longue clé unique dans l'URL, et non, je ne peux pas les nommer en haut dema tête.Mais oui, la plupart du temps, le lien mène à la page avec des instructions sur la façon de revenir en arrière, mais ne rétablit pas réellement le changement en un clic.
@user1306322 qui a plus de sens pour moi et correspond à mon expérience
De plus: les vulnérabilités CSRF ou XSS ne pourront pas prendre le contrôle d'un compte de manière triviale.
@Ajedi32 Un lien de retour serait une bonne idée pour les situations où ils changent le mot de passe et l'e-mail.
@schroeder malheureusement pas assez de fournisseurs ont ce bouton "revenir".C'est génial tho.Vraiment sauvé mon cul quand quelqu'un a fait irruption dans mon compte rockstar
Matthew
2017-06-15 14:38:38 UTC
view on stackexchange narkive permalink

Deux raisons principales:

  1. Si votre session est compromise (par exemple, vous laissez l'ordinateur et quelqu'un d'autre saute dessus, ou il y a une vulnérabilité de compromission de session à distance), cela empêche une autre personne de changer le mot de passe, vous excluant de votre propre compte.
  2. Si vous appliquez un changement de mot de passe, vous pouvez alors vérifier que l'ancien et le nouveau mot de passe ne correspondent pas, sans avoir à stocker l'ancien mot de passe dans un formulaire récupérable - vous pouvez le vérifier, puis vérifier que le nouveau n'est pas le même, même avec des hachages de mot de passe entièrement salés. Bien que vous puissiez vérifier les correspondances exactes avec juste le hachage, cela ne permet pas de vérifications telles que "s'assurer que le nouveau mot de passe n'est pas l'ancien mot de passe avec le dernier chiffre incrémenté de un", qui sont parfois requis par des applications plus sensibles
J'ai aussi une pensée si ma session est compromise. Mais à moins que l'e-mail et les questions secondaires de l'utilisateur soient également contrôlés par la confirmation du mot de passe, il / elle peut toujours modifier mon e-mail. J'ai vu de nombreux formulaires php indiquant que l'onglet e-mail est différent de l'onglet mot de passe.Quoi qu'il en soit, merci Matthew.
Ces autres champs sensibles (comme le courrier électronique) * devraient en effet * être protégés avec le même mécanisme de sécurité.Tous les sites ne prennent pas ce niveau de soin, mais c'est quelque chose qui doit être fait.
Les mots de passe enregistrés sont souvent pré-remplis sur la page de connexion, mais sont moins susceptibles de se pré-remplir sur la page de réinitialisation du mot de passe, ce qui oblige l'utilisateur à connaître explicitement l'ancien mot de passe, au lieu d'être simplement enregistré.
J'ai trouvé plus d'un site qui a trouvé un moyen de désactiver la fonction de pré-remplissage offerte par certains navigateurs.Compris ou eu de la chance.:-)
@Matthew Vous pouvez même faire cela en prenant le nouveau mot de passe, en * décrémentant * un dernier chiffre, et en hachant pour voir si c'est l'ancien mot de passe, mais avoir l'ancien et le nouveau pourrait être pratique pour certaines vérifications.
@WGroleau J'ai trouvé une extension qui contrecarre au moins une des façons dont certains sites ont trouvé pour désactiver la fonction de pré-remplissage.(Au cas où vous pensez que j'expose mes informations d'identification à l'extension: il suffit de vérifier le code HTML pour un attribut qui indique au navigateur "ne remplissez pas automatiquement ce champ" dans les champs du nom d'utilisateur et du mot de passe, et supprimez cet attributsi trouvé.)
Sauf si vous avez étudié le code source, vous ne savez pas si une extension quelconque vous espionne.
@WGroleau> générer un identifiant / nom entièrement aléatoire pour le champ désactive généralement le pré-remplissage (le navigateur ne le fait correspondre à aucun champ qu'il connaît), fwiw.
@DavidConrad (1) La vérification des distances de martelage de 1 ou 2 n'est pas considérablement ralentie par le hachage;et (2) si vous ne voulez pas que les gens choisissent des mots de passe similaires, alors apparemment ils ne le changent pas volontairement: il n'est pas recommandé de forcer les changements de mot de passe (voir la recommandation du NIST, une recherche Microsoft de 2008 ou quelque chose du genre, et la connaissance commune de cetype de mots de passe que les gens choisissent lors de tels événements).
@Luc Je faisais simplement remarquer que c'était possible, je ne suggérais pas de tester des mots de passe similaires, ni je ne préconisais de forcer les changements de mot de passe.
@MatthieuM.En comparant les hachages, vous ne pouvez pas identifier que l'ancien mot de passe d'un utilisateur était Password1 et que son nouveau est Password2.Comme Matthew l'a mentionné, en utilisant l'ancien mot de passe, vous pouvez vérifier le nouveau mot de passe par rapport aux permutations courantes qui rendraient le nouveau mot de passe moins sécurisé si l'ancien était compromis
@GroundZero: Eh bien, Matthew a mentionné les correspondances floues * après * mon commentaire, donc je suppose que cela signifie que je peux le supprimer maintenant qu'il a été pris en compte.Et en effet, je conviens que vérifier que les deux mots de passe diffèrent sensiblement est une bonne idée.
@WGroleau Il convient de souligner qu'il faut lire la source sur votre appareil local, pas la source publique sur le net, car il n'y a aucune garantie que ce qui est réellement installé
Vrai.Il faudrait compiler la source que l'on a lu pour être sûr de ce qui est installé.Et même dans ce cas, vous n'êtes pas sûr à 100%: https://scienceblogs.com/goodmath/2007/04/15/strange-loops-dennis-ritchie-a
Spencer Joplin
2017-06-16 02:23:34 UTC
view on stackexchange narkive permalink

Pour compléter les autres réponses, j'ajouterai pour confirmer que le clavier fonctionne comme l'utilisateur le souhaite.

Le verrouillage des majuscules peut inverser la casse, et le verrouillage numérique peut changer si la saisie, par exemple un "4" sur le clavier déplacera le curseur vers la gauche. Certaines interfaces affichent un avertissement, mais beaucoup ne le font pas.

La plupart des systèmes d'exploitation ont des dispositions de clavier logiciel. Être capable de saisir correctement votre ancien mot de passe est une bonne preuve que vous avez l'intention d'utiliser la mise en page actuelle.

Certaines touches ont également cessé de fonctionner, ce qui cause de la frustration lorsque vous résolvez pourquoi vous ne pouvez pas connectez-vous depuis n'importe quel autre clavier.

"Certaines touches ont également cessé de fonctionner, ce qui cause de la frustration lorsque vous résolvez pourquoi vous ne pouvez pas vous connecter à partir d'un autre clavier."Vous voulez dire que vous avez * défini * le mot de passe à partir d'un clavier cassé et que vous ne pouvez pas vous connecter sur un autre clavier?: D Wow, c'est en fait un scénario vraiment intéressant.
@Wildcard Une fois, j'ai eu une situation dans laquelle la disposition de mon clavier a changé entre la configuration du mot de passe et la connexion par la suite.Imaginez résoudre ces problèmes dans des situations où vous ne pouvez pas lire le mot de passe en texte brut.C'était une connexion Windows et la disposition du clavier de mon utilisateur était différente de celle du système d'exploitation
Steam avait (a?) Un problème avec le mode Big Picture et certains contrôleurs, où certaines des touches affichées sur l'interface ne correspondent pas à ce qui est réellement entré lorsque vous appuyez sur ce bouton de contrôleur.Donc, si vous définissez un mot de passe avec un clavier, vous ne pourrez peut-être pas le saisir sur un contrôleur, et vice versa.
Sarah G.
2017-06-15 14:51:20 UTC
view on stackexchange narkive permalink

Je pense que la confirmation de l'ancien mot de passe ne vous aide pas à sécuriser votre compte au cas où vous perdriez votre mot de passe. Mais cela a du sens lorsque personne n'a volé votre mot de passe, car cela garantit que vous êtes le seul à pouvoir changer votre mot de passe (car vous seul connaissez votre mot de passe). Par exemple, personne ne connaît votre mot de passe Facebook, mais vous êtes déjà connecté à Facebook avec votre compte sur votre téléphone portable, puis votre ami emprunte votre téléphone. S'il veut changer votre mot de passe, c'est impossible sans connaître votre mot de passe actuel.

Eh bien, ils pourraient simplement réinitialiser le mot de passe et ouvrir votre e-mail, mais l'idée est juste.
C'est une dupe du n ° 1 dans [cette réponse] (https://security.stackexchange.com/a/162024/125213) ci-dessus.
Sauf s'il s'agit de votre compte Skype et que vous avez perdu votre mot de passe.Alors tu es juste foutu.(Vous pouvez continuer à utiliser le compte Skype sur les appareils sur lesquels vous êtes connecté, mais une fois qu'ils deviennent obsolètes et non pris en charge, vous êtes définitivement verrouillé.) (Le processus de réinitialisation du mot de passe Skype est presque impossible à approuver.)
i--
2017-06-20 13:36:04 UTC
view on stackexchange narkive permalink

C'est pour vous aider à garder le compte avec vous-même.

Quelques scénarios

  1. Votre cookie est volé par quelqu'un via un middleware ou par d'autres méthodes , puis si le site ne vous a pas demandé l'ancien mot de passe, il peut modifier le mot de passe et l'adresse e-mail de récupération , puis le compte ne vous appartient plus.

  2. Si quelqu'un a accès à votre système auquel vous vous êtes connecté, il peut modifier le mot de passe, puis l'adresse e-mail de récupération, puis le compte ne vous appartient plus.

freb
2020-08-16 21:58:00 UTC
view on stackexchange narkive permalink

Protection contre la falsification de requêtes intersites (CSRF). Ce n'est probablement pas la raison principale, mais les sites qui n'utilisent pas de protection CSRF mais qui nécessitent l'ancien mot de passe pour les changements de mot de passe ont protégé au moins une requête contre les attaques CSRF.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...