L'opinione generale sulle politiche relative alle password sembra essere che le regole di complessità sono controproducenti per la sicurezza a causa della natura umana [1].
Questo vale anche per le politiche relative alle password che vietano il riutilizzo delle password che un utente aveva sullo stesso sistema? Quali sono i benefici effettivi (o gli svantaggi) di impedire il riutilizzo di ad es. le 3 password utilizzate più di recente? Sarebbe "abbastanza sicuro" solo per impedire che la password corrente e quella nuova siano identiche?
Seguendo l'essenza della risposta sopra citata, ritengo che se ad es. l'utente di un sistema specifico deve modificare la propria password ogni mese con una politica di password in atto che vieta il riutilizzo delle 3 password utilizzate più di recente, l'utente dovrebbe semplicemente utilizzare la password utilizzata prima della terza più recente. Quindi, passa in rassegna un pool di 4 password anziché 3, rispettando la politica della password ma sconfiggendo lo scopo della politica.
Limitazione:
- La password deve essere ricordata e digitata da un essere umano. Parola d'ordine i gestori con password CSPRNG non sono fattibili in questo scenario.
- La norma per cambiare regolarmente la password non può essere contestata
[1] link