La politica di sicurezza del mio datore di lavoro ha una politica di rotazione della password per la mia workstation. Dopo un recente cambio di password ho ricevuto immediatamente una e-mail che mi diceva di un problema:
According to our records, you recently changed your workstation password, which is synchronized automatically with XYZ. However, this email is sent to inform you that your password could not be set in the system. The most common reason for failure is that the first three characters of a password cannot be identical...
Please change your password once again via the Password Center or Windows.
Come fastidioso che ho bisogno di cambiare la mia password ancora una volta. Ma più curiosamente, avevo l'impressione che politiche come questa sarebbero state impossibili se l'hashing delle password fosse in pratica. Gli amministratori del sistema XYZ dovrebbero sapere quali sono i primi tre caratteri della mia password precedente o sono indicativi di cattive pratiche?
Modifica
first three characters of a password cannot be identical
L'ho interpretato come "... i primi tre caratteri di una password non possono essere identici al precedente ". L'e-mail stessa era piena di errori ortografici e grammaticali (conteneva persino una traccia dello stack) quindi sono andato mentalmente in modalità interpretazione e ora penso di aver interpretato questa riga in modo errato. Leggendo di nuovo probabilmente sta solo facendo un suggerimento. Non voglio ancora saltare in gola all'IT Helpdesk! Tuttavia penso che questo possa essere risolto ipoteticamente come se si riferisse alla password precedente, quindi lascerò la domanda così com'è. (Per inciso, sarei interessato a sapere perché uno potrebbe avere una politica che vieta ai primi tre personaggi di essere identici.)
La password viene modificata tramite CTRL + ALT + CANC in Windows. Quando si verifica ciò, deve verificarsi una sincronizzazione con altri sistemi interni (ad esempio, sistemi di scrittura del tempo).