Столкнулся в этом году с новшеством в системе авторизации пользователей у крупных сервисов. Первым был Google, а позже подтянулись Microsoft. Новшество заключается в том, что если вы забыли пароль и запрашиваете восстановление, то ввести старый пароль вам не дают, а требуют новый. При этом система точно знает, как минимум 3 предыдущих пароля. И всё это выглядит странно для меня.
Странность заключается в том, что это создает лишние проблемы, если просто забыли пароль, т.е. ввести прежний нельзя, то следом за изменением пароля следует изменения пароля на всех устройствах и программах, где пароль хранится для авторизации. И с этим растёт и вероятность, что этот пароль будет забыт, потому что он новый.
Ну и самый сок. Если система сообщает, что такой пароль был, то она его хранит и как-то сравнивает. А вот это уже отдает сбором базы и ставит под угрозу кучу паролей, а еще и алгоритмы, по которым пользователи корректируют пароль, чтобы система схавала.
Как уже ясно, настроен я к этому параноидально. А что вы думаете об этом?
P.S. Да-да, щас меня успокоют, а сами уже уязвимости пошли искать. :D
Между тем, нашел на официальном форуме тему, в которой было обсуждение целесообразности запрета на использование старого (предыдущего) пароля. Прочитать можно на английском: https://answers.microsoft.com/en-us/outlook_com/forum/osecur...