به دلایلی، به عنوان یک شیوه امنیتی * برای وب سایت ها برای پیگیری تغییرات رمز عبور تبدیل شده است. سایت هایی مانند گوگل حتی می توانند به شما بگویند که چند سال پیش رمز عبور خود را تغییر دادید. گذشته از فقط یادآوری شما که " گذرواژه خود را 10 ماه پیش تغییر داد … " آنها به جلو و حالت " آیا این شما بودید؟ حساب شما "
استدلال در پشت این – امنیت عاقلانه؟ اگر یک مهاجم 10 ماه قبل توانست رمز عبور خود را تغییر دهد، آیا منطقی است که او بتواند پس از آن حساب کاربری خود را بازیابی کند؟ اگر آنها می توانند رمز عبور خود را تغییر دهند، به این معنی که آنها می توانند تقریبا همه چیز را تغییر دهند که کاربر می تواند برای بازیابی حساب کاربری استفاده کند.
من فکر می کنم یک نقطه از این که چرا سایت ها نیاز به پیگیری تغییرات رمز عبور کاربر دارند را از دست ندهید. EDIT:
این وضعیت زمانی اتفاق می افتد که یک کاربر یک کلمه عبور اشتباه وارد کند که یک کلمه عبور داشت. به عنوان مثال، یک سایت یک مثال جدول کلمات عبور با مطالب زیر دارد:
user_id | رمز عبور | تغییر کرد
---------------------------------
1 | بله | هرگز
---------------------------------
1 | بله بله | 2014/07/26
---------------------------------
1 | no blah | 01.01.2017
---------------------------------
2 | بله | هرگز
هنگامی که کاربر با user_id = 1 تلاش می کند با رمز ورود no blah وارد شوید، او یادآوری خواهد شد که او رمز عبور خود را در 2014/01/31 تغییر داد . اما زمانی که او با گذرواژه فعلی خود بلا وارد می شود، بدون هیچ مشکلی وارد سیستم می شود.
