Как система узнает, когда пароль содержит части предыдущего пароля?

Question

Наверное, супер простой вопрос.Я знаю много онлайн-сервисов хеш-паролей и паролей вместо того, чтобы хранить их в виде открытого текста в целях безопасности.Веб-портал моего университета требует, чтобы студенты меняли свои пароли каждые 6 месяцев.Из того, что я знаю, система построена на программном обеспечении Oracle.

Однако мой вопрос: как система узнает, что мой пароль длиной 20 символов (с заглавными буквами, цифрами и символами) содержит 3 символа в том же порядке, что и новый пароль, который я пытаюсь установить?Если пароли хешируются, не должен ли алгоритм быть односторонним?Или возможно, что система шифрует незашифрованные пароли и сохраняет их?Разве это не было бы менее безопасно?

Извините, если вопрос трудно понять.Дайте мне знать, если вам нужно, чтобы я уточнил.Заранее спасибо!

Answer 1

Если вам необходимо ввести свой предыдущий пароль при создании нового, система может сравнить их напрямую. Это может быть сделано даже на стороне клиента.

EDIT

Есть только несколько других возможностей

• Они хранят ваш пароль в незашифрованном виде (в этом случае им следует уволить весь ИТ-отдел)
• Их метод шифрования двусторонний, т. Е. Его можно расшифровать (в этом случае они должны уволить весь свой ИТ-отдел)
• Они временно сохраняют ваш пароль при входе в систему. Возможно, в файле cookie или на сервере. (В этом случае они должны уволить весь свой отдел ИТ)

Answer 2

Вероятно, что таблица паролей prevoius зашифрована (возможно, с использованием rot26).

Answer 3

Система может только проверить, точно ли новый пароль совпадает со старым (сравнивает хэши).Если он проверяет совпадения подстроки, пароли, вероятно, хранятся в виде открытого текста.

Нет bueno.

РЕДАКТИРОВАТЬ: Или то, что Ник сказал, конечно.