Come determinare il numero di caratteri cambiati tra due password come da regola SVA dello sviluppatore di applicazioni DISA SV-84187r1_rule?

4

Il STA dello sviluppatore di applicazioni DISA specifica:

Group ID (Vulid): V-69565

Rule ID: SV-84187r1_rule

Rule Version (STIG-ID): APSC-DV-001730

Rule Title: The application must require the change of at least 8 of the total number of characters when passwords are changed.

Il controllo del contenuto non è meno vago:

When prompted to provide the password, attempt to change less than 8 characters of the total number of characters in the password.

If less than 8 characters of the password are changed, this is a finding.

La mia squadra e io stiamo avendo difficoltà a determinare l'interpretazione ufficiale di questa regola. L'indice conta? L'aggiunta di 8 nuovi caratteri alla tua password originale conta come la modifica di 8?

Abbiamo finito per determinare la differenza usando l'algoritmo Levenshtein Distance , ma temiamo che il nostro successo possa essere determinato dal soggettivo interpretazione di qualcun altro che potrebbe eseguire test / scansioni IA sulla nostra applicazione in futuro.

Esiste una definizione tecnica "ufficiale" di un "cambiamento di almeno 8 caratteri"?

    
posta Austin Hill 03.02.2017 - 16:22
fonte

0 risposte

Leggi altre domande sui tag