La ricerca mostra che richiedere modifiche della password basate sul tempo aumenta il riutilizzo (gli utenti useranno una password da un altro sito, dato che l'hanno già memorizzata, o useranno un quasi duplicato della loro password precedente), diminuisce complessità della password e aumenta le probabilità che la password venga scritta da qualche parte.
Le risposte e i documenti in questo legato la domanda sarebbe un buon punto di partenza per ulteriori letture, ad esempio l'introduzione e la conclusione di questo .
In breve, se si desidera minimizzare il riutilizzo della password, non richiedere modifiche della password basate sul tempo. Il modo migliore che ho visto per incoraggiare password univoche è quello di fornire all'utente una password generata a caso durante la creazione dell'account, piuttosto che lasciargli specificare una password.
Suppongo che per "frequenza delle reimpostazioni della password" intendi l'invecchiamento della password, ovvero "l'utente deve cambiare la password dopo un intervallo di tempo X".
Di per sé, l'invecchiamento della password non ha alcun impatto sul riutilizzo della password. Per definizione, l'invecchiamento della password dice semplicemente che l'utente deve scegliere una nuova password dopo un certo periodo di tempo. I parametri chiave che collaborano all'invecchiamento della password per impedire il riutilizzo della password sono "cronologia password" (quante password precedenti il sistema deve tenere traccia di ogni account) e "età minima della password" (per quanto tempo un utente deve attendere dopo aver modificato una password prima possono cambiarlo di nuovo.
Ecco perché:
Supponiamo che il tuo sistema richieda agli utenti di cambiare la propria password ogni 180 giorni, che abbia una cronologia delle password di 6, ma che non abbia un'età minima per la password.
Ciò significa che se un utente solo modifica le password quando il sistema lo richiede, può riutilizzare la prima password dopo 2,5 anni (o 3 anni, dipende da come la si conta).
Senza un'età minima per la password, un utente potrebbe cambiare la sua password, quindi cambiarla di nuovo altre 6 volte immediatamente e tornare alla sua prima password.
Una politica sull'età minima delle password rende molto più difficile. Un'età minima di 24 ore significa che occorre una settimana per passare tutte quelle iterazioni e tornare alla password originale. Imposta l'età minima di 7 giorni e ora ti trovi nell'intervallo di 1-2 mesi.
Leggi altre domande sui tag passwords password-management