古いパスワードを受け入れることは悪いポリシーですか?
この質問は、次のように、今日オンラインバンキングで経験したことから着想を得ています。一年前、私はオンライン預金口座を開設しました。 (銀行に名前を付けずに、会社は現在 Dow -の構成要素であり、つまり、フライバイナイト機関ではありません。)今月初め、彼らは再設計されたWebを立ち上げました。インターフェース、そして今日は私が再設計以来初めて私のアカウントにアクセスした。最初にアカウントを作成したときに使用したのと同じパスワードを誤って使用しました。ただし、以前にパスワードを変更していました。 古いパスワードは機能しないはずでしたが、機能しました!
その後、彼らが私のアカウントを古い情報に関連付けていたことが明らかになりました。彼らは、私が長い間放棄していたが、アカウントを開くときに使用した電話番号にアクティベーションコードを送信するように求めました。アカウントを開設した後、パスワードの変更に加えて、古い電話番号を新しい電話番号に置き換えました。そのため、銀行は私の古い個人情報(つまり、パスワードと電話番号)に戻ったように見えます。
古いパスワードが危険にさらされている可能性があると信じているために、パスワードを変更することがあります。ただし、教育機関が古いパスワードを引き続き受け入れる場合、この対策は効果がありません。
評判の良い銀行が意図的に古いパスワードを受け入れると信じる理由はありますか?
さて、あなたの銀行のこの話についてコメントすることはできませんが、あなたの全体的な質問に対する答えは、古いパスワードを受け入れるのは非常に愚かですです。なぜなら、ユーザーは自分のアカウントを保護する方法がないからですパスワードが危険にさらされることはありません。
それは悪い方針です。人々がパスワードを変更する理由は、古いパスワードがまだ機能する場合のセキュリティです。変更しても意味がありません。私の古いパスワードが他の誰かに明らかにされた場合はどうなりますか(特にフィッシングで発生する可能性があります)。変更したいのですが、古いパスワードが役に立たないことを確認してください。
注意すべき興味深い点は、多くのサイトが古いパスワードを保存していることです。カップルが所有権を保証するものではないことを知っている間、あなたが失われたアカウントを回復しようとしているとき、それは確かにあなたの立場を強化します。
Gmailには古いパスワードも保存されます。パスワードを変更してから数か月以内に古いパスワードを入力すると、「最後にパスワードを変更したのはX日前です。これがあなたでない場合は、何とか[アカウント回復へのリンク]」と報告されます。
評判の良い銀行が意図的に古いパスワードを受け入れると信じる理由はありますか?
私がこれが起こっているのを見ることができる唯一の理由は、彼らが大規模な障害を抱えていて、バックアップをロードしなければならないということです。重要なのは、バックアップが古くなるほど、これはすぐに非常に不合理になるということです。復元が必要な大規模な障害が発生した場合は、最後の数時間のパスワード変更を元に戻すのが妥当です。日(またはこの場合、年ではないにしても月)をやり直すことは決して合理的ではありません。データベースを復元する必要があるだけでなく、最近のバックアップも破棄されたという最悪の場合でも、物理的に別の場所にバックアップを保存する必要があります。
したがって、バックアップを使用する必要がある場合でも、説明した状況を正当化することはできません。
認証資格情報が盗まれたり漏洩したりした場合にアカウントを合理的に安全に保つために、一定の時間が経過した後にユーザーのパスワードを変更することが要求されます。したがって、以前のパスワードを受け入れることは安全でない解決策であり、避ける必要があります。
私がその話について把握したことから、それは銀行からの展開エラーのようであり、データベースの最新バージョンの代わりに古いバージョンが使用されています。
そうすることは悪い考えであることに同意しますが、わずかに異なる状況で最後のパスワードを許可できる理由があります。なんらかの理由(リクエストが多すぎる、または長時間ログインしていない)でアカウントがロックされ、パスワードを変更する必要がある場合、ロックされたアカウントの古いパスワードをユーザーに使用させることができるのは一定の時間だけである可能性があります。それを変更することができます。たとえば、AiX( maxexpired parameter )にはそのようなメカニズムがあります。それは悪い考えのままですが、それが問題だったので、私はこの情報を追加したいと思いました。