Quando viene richiesto di aggiornare le loro password dopo che sono diventate obsolete (sia dopo 30, 60, 90 giorni - qualunque cosa sia implementata dalla policy), molti utenti semplicemente incrementano il numero che potrebbero essere stati forzati ad aggiungere dalla password la politica.
Sono interessato a sapere quanto sia diffusa questa pratica, non necessariamente chi la sta effettivamente facendo.
I sistemi mantengono già una cronologia delle password (con hash) per impedire il riutilizzo immediato. Quanto sarebbe male se dovessi conservare anche una cronologia della somma ASCII del testo in chiaro e osservare se tale somma viene incrementata quando la password viene modificata?