Hallo Christian,

Einerseits musst du dafür eine Passwort-Historie speichern (sehr schlecht), und andererseits geht dich das nichts an.

Ist eine Historie der gehashten und gesalzten Passwörter immer noch "sehr schlecht"?

Klar, unnötiger Angriffsvektor und es widerspricht der Datensparsamkeit.

Um das auszuführen: wenn ich eine Passwort-Historie speichere, dann hat der potentielle Angreifer gleich n Passwörter, die er an anderen Accounts ausprobieren kann, statt nur einem. Oder er sieht sogar ein Muster, wie ich meine Passwörter generiere.

Auch wenn ich die Passwörter nicht im Klartext ablege, muss ich bei meinen Überlegungen davon ausgehen, dass der Angreifer in der Lage sein könnte, das Klartext-Passwort irgendwie doch wiederherzustellen. Sicherheitsbewusstes Denken ist oft äuquivalent mit paranoidem Denken.

LG,
CK