Penso che l'applicazione della limitazione degli utenti al riutilizzo delle password dipenderà in gran parte dall'applicazione e dalla loro accettazione del rischio. Le "best practice" di password sono probabilmente uno degli argomenti più frammentari in Information Security, ed è probabile il motivo per cui questi cheat sheet non ne fanno menzione.
Per le organizzazioni che hanno una politica sulle password che richiede agli utenti di cambiare la propria password ogni X giorni, limitare l'utente a cambiare la propria password a qualcosa è già stato logico. La logica alla base di ciò è che richiedere agli utenti di modificare la propria password su base regolare riduce la possibilità che una vecchia password, se compromessa, possa essere utilizzata in un attacco di Password Replay.
Con tale politica, è probabile che sia impostato un valore "Password memorizzate". Questo criterio ricorderà il precedente numero di password X degli utenti per garantire che rispettino la politica della password e non riutilizzino le vecchie password. Il riutilizzo delle vecchie password renderebbe effettivamente inutilizzabile la politica della password. In questo caso si vorrebbe forzare un utente a impostare una nuova password se fa clic sull'opzione "password dimenticata". Senza costringerli a farlo, un utente potrebbe semplicemente utilizzare la funzione "password dimenticata" nell'applicazione per assicurarsi che possa sempre avere la stessa password, senza essere obbligata a cambiarla in qualcosa di nuovo.
Facendo un ulteriore passo avanti, è anche normale che ci sia un tempo di "blocco" della password in cui gli utenti non possono cambiare la loro password per X giorni dopo che è stata cambiata. Questo per evitare che le persone passino rapidamente in bicicletta attraverso 3 password modificate per poter utilizzare quello che gli piace. In questo modo, se la password che un utente sta per scadere, non può modificare rapidamente la propria password X per tornare a quella che preferisce.
EDIT: Prendi ciò che vuoi, ma il NIST ha ha pubblicato una linea guida che raccomanda contro le norme sulle password che richiedono agli utenti di cambiare le loro password.