Quel est le but de confirmer l'ancien mot de passe pour créer un nouveau mot de passe?
Supposons que quelqu'un ait volé mon mot de passe, il peut facilement le changer en confirmant l'ancien mot de passe.
Donc, je suis curieux de savoir pourquoi avons-nous besoin de cette étape et quel est le but d'utiliser l'ancienne confirmation de mot de passe?
Si vous êtes connecté et que je m'assois à votre ordinateur, je peux vous verrouiller hors de votre compte et me transférer la propriété.
Deux raisons principales:
- Si votre session est compromise (par exemple, vous laissez l'ordinateur et quelqu'un d'autre se met en marche, ou il existe une vulnérabilité de compromission de session à distance), cela empêche une autre personne de changer le mot de passe, vous bloquant hors de votre propre compte.
- Si vous appliquez un changement de mot de passe, vous pouvez alors vérifier que les anciens et les nouveaux mots de passe ne correspondent pas, sans avoir besoin de stocker l'ancien mot de passe sous une forme récupérable - vous pouvez le vérifier, puis vérifier que le nouveau n'est pas le même, même avec des hachages de mot de passe entièrement salés. Bien que vous puissiez vérifier les correspondances exactes avec juste le hachage, cela ne permet pas des vérifications telles que "assurez-vous que le nouveau mot de passe n'est pas l'ancien mot de passe avec le dernier chiffre incrémenté d'un", qui sont parfois requis par des applications plus sensibles
Pour augmenter les autres réponses, j'ajouterai pour confirmer que le clavier fonctionne comme l'utilisateur le souhaite.
Le verrouillage des majuscules peut inverser le cas, et le verrouillage numérique peut changer si vous tapez par exemple un "4" sur le clavier déplacera à la place le curseur vers la gauche. Certaines interfaces affichent un avertissement, mais beaucoup ne le font pas.
La plupart des systèmes d'exploitation ont des dispositions de clavier logiciel. Pouvoir saisir correctement votre ancien mot de passe est une bonne preuve que vous avez l'intention d'utiliser la disposition actuelle.
Certaines touches individuelles ont également cessé de fonctionner, ce qui provoque de la frustration lorsque vous résolvez pourquoi vous ne pouvez pas vous connecter à partir d'un autre clavier.
Je pense que la confirmation de l'ancien mot de passe ne vous aide pas à sécuriser votre compte en cas de perte de votre mot de passe. Mais cela a du sens lorsque personne n'a volé votre mot de passe, car cela garantit que vous êtes le seul à pouvoir changer votre mot de passe (car vous seul connaissez votre mot de passe). Par exemple, personne ne connaît votre mot de passe Facebook, mais vous vous êtes déjà connecté à Facebook avec votre compte sur votre téléphone portable, puis votre ami emprunte votre téléphone. S'il veut changer votre mot de passe, c'est impossible sans connaître votre mot de passe actuel.
C'est pour vous aider à garder le compte avec vous.
Quelques scénarios
Votre cookie est volé par quelqu'un via un middleware ou par d'autres méthodes, puis si le site ne vous a pas demandé l'ancien mot de passe, il peut changer le Mot de passe et e-mail de récupération puis le compte n'appartient plus à toi.
Si quelqu'un a accès à votre système auquel vous vous êtes connecté, il peut changer le mot de passe, puis l'e-mail de récupération et le compte ne vous appartient plus.