Esiste un motivo di sicurezza per un sito per limitare il numero di volte in cui un utente può modificare la sua password?

Il motivo reale per cui tali norme sono in vigore è perché sono presenti per impostazione predefinita . Ecco come vanno le cose in Active Directory:

• Le password scadono dopo 42 giorni.
• Quando si modifica la sua password, l'utente (non amministratore) non può riutilizzare una delle sue 24 password precedenti.
• L'utente non può cambiare la sua password due volte nello stesso frame di 24 ore.

Quindi incontrerai molte cose del genere, soprattutto perché richiederebbe sforzi e comprensione per impostarle diversamente. La maggior parte delle persone passa attraverso la propria vita in uno stato di beata ignoranza e pigrizia, e gli amministratori di sistema non fanno eccezione.

Quando è necessaria una motivazione per la terza proprietà (24 ore tra le modifiche della password), il motivo spesso citato è quello che dice @bobince: per impedire a un utente snarky di scorrere attraverso 23 password fittizie per tornare alla sua password iniziale, perché ciò contraddirebbe la prima regola (nessuna riutilizzazione della password).

Naturalmente, tali regole non impediranno agli utenti di utilizzare "password di sequenza": Password37, Password38, Password39 ... che in qualche modo vanificano lo scopo di forzare la scadenza della password (scopo che è già di valore molto dubbio). E impedire all'utente di cambiare la sua password tutte le volte che vuole significa anche che l'utente non può cambiare la sua password tutte le volte che ha bisogno di : se l'utente nota un shoulder surfer che ha appena rubato la sua password, un utente attento alla sicurezza vorrebbe cambiare rapidamente la sua password, che sarebbe, in questo caso, un ottimo idea. La regola contro la modifica della password potrebbe impedirlo.

In genere viene utilizzato in combinazione con una politica di cronologia delle password, ad esempio "non è possibile riutilizzare nessuna delle ultime 12 password". Senza un periodo minimo di modifica, sarebbe possibile aggirarlo cambiando la password 12 volte di seguito, tornando all'originale.

È IMO di valore piuttosto dubbio.

No, non penso ci sia alcun ragionevole motivo di sicurezza per avere un limite al numero di modifiche della password. L'unico limite che dovrebbe essere applicato è parte di un limite generale alle operazioni costose per limitare i tentativi DoS, come "nessuna modifica della password più di una volta ogni 5 secondi *" o "nessun tentativo di accesso più di una volta ogni 10 secondi *".

Tuttavia, c'è un'eccezione a cui posso pensare - a volte cambiare la password è veramente costoso. Ad esempio, quando una grande quantità di dati viene crittografata con una chiave derivata dalla password dell'utente. Quando la password cambia, i dati devono essere crittografati con la nuova password e i vecchi file crittografati devono essere rimossi, probabilmente propagati attraverso i backup e così via. Anche in questo caso, non è una buona idea avere un limite molto restrittivo perché non sai quando la password dell'utente potrebbe essere compromessa.

* I numeri sono arbitrari.