¿Cómo sabe el sistema cuándo una contraseña contiene partes de una contraseña anterior?

Question

Probablemente una pregunta súper básica. Conozco muchas contraseñas hash y salt de servicios en línea en lugar de almacenarlas como texto sin formato para fines de seguridad. El portal web de mi universidad requiere que los estudiantes cambien sus contraseñas cada 6 meses. Por lo que sé, el sistema está basado en el software de Oracle.

Mi pregunta es, sin embargo, ¿cómo sabe el sistema cuando mi contraseña larga de 20 caracteres (con mayúsculas, números y símbolos) contiene 3 caracteres en el mismo orden que la nueva contraseña que intento establecer? Si las contraseñas son hash, ¿no debería el algoritmo ser unidireccional? ¿O es posible que el sistema encripte las contraseñas de texto plano y las almacene? ¿No sería eso menos seguro?

Lo siento si la pregunta es difícil de entender. Avíseme si necesita que lo aclare. ¡Gracias por adelantado!

Answer 1

Si tiene que ingresar su contraseña anterior al crear una nueva, el sistema puede compararlas directamente. Esto incluso podría hacerse desde el lado del cliente.

EDITAR

Hay sólo unas pocas otras posibilidades

• Almacenan su contraseña en texto plano (en cuyo caso se deben disparar toda su departamento de TI)
• Su método de cifrado es bidireccional es decir, se puede descifrar (en cuyo caso deben activar todo su departamento de TI)
• Almacenan temporalmente su contraseña al iniciar sesión. Quizás en una cookie o en el servidor. (En cuyo caso deben despedir a todo su departamento de TI)

Answer 2

Es probable que la tabla de contraseña prevoius esté encriptada (posiblemente usando rot26).

Answer 3

El sistema solo puede verificar si la nueva contraseña coincide exactamente con la contraseña anterior (compara los valores hash). Si está comprobando coincidencias de subcadenas, es probable que las contraseñas se almacenen en texto sin formato.

No bueno.

EDITAR: O lo que dijo Nick, por supuesto.