Il STA dello sviluppatore di applicazioni DISA specifica:
Group ID (Vulid): V-69565
Rule ID: SV-84187r1_rule
Rule Version (STIG-ID): APSC-DV-001730
Rule Title: The application must require the change of at least 8 of the total number of characters when passwords are changed.
Il controllo del contenuto non è meno vago:
When prompted to provide the password, attempt to change less than 8 characters of the total number of characters in the password.
If less than 8 characters of the password are changed, this is a finding.
La mia squadra e io stiamo avendo difficoltà a determinare l'interpretazione ufficiale di questa regola. L'indice conta? L'aggiunta di 8 nuovi caratteri alla tua password originale conta come la modifica di 8?
Abbiamo finito per determinare la differenza usando l'algoritmo Levenshtein Distance , ma temiamo che il nostro successo possa essere determinato dal soggettivo interpretazione di qualcun altro che potrebbe eseguire test / scansioni IA sulla nostra applicazione in futuro.
Esiste una definizione tecnica "ufficiale" di un "cambiamento di almeno 8 caratteri"?