Se l'utente è autorizzato a scegliere la propria password, allora no, non è possibile. Niente impedisce all'utente di riutilizzare un'altra password da altri sistemi che non controlli a condizione che soddisfi tutti i requisiti della tua password.
Se non permetti a un utente di scegliere la propria password, ma genera una password ad alta entropia per loro, allora è possibile - se scegli una nuova password a 80 bit per loro come LDhrcqKYcm è altamente improbabile che prima della generazione quella password è usata su qualsiasi altro sistema. Concesso una volta che lo hai dato all'utente, non c'è nulla che impedisca loro di memorizzarlo e decidere di usarlo su qualche altro sistema che non pone limiti alla propria password.
Da un punto di vista tecnico, penso che sia chiaro che la risposta è "no" dato che tu, presumibilmente, non conosci le loro password altrove, e, idealmente, non conosci le loro password una volta impostate sul tuo sistema.
Penso che ci siano facilmente approcci concepiti per determinare le probabilità statistiche che qualcuno sia (o, come hai detto, non lo è) il riutilizzo di una password. Ad esempio, una password scarsamente scelta o semplice come "123456" potrebbe essere più probabile appartenere a qualcuno che riutilizza le password, mentre una password come "* lP (../# x9 '" probabilmente appartiene a qualcuno che non lo fa.
In entrambi i casi, tuttavia, penso che sarebbe sufficientemente difficile determinare con "alta affidabilità" in un modo o nell'altro che sarebbe più utile accettare che la maggior parte delle persone riutilizzi le password e quindi implementare requisiti di password che deincentivino il riutilizzo oppure aggiungi l'autenticazione multifactor per mitigare il riutilizzo.
Solo i miei 2 cent.
L'unica cosa che può essere controllata abbastanza bene è la forza della password che un utente può scegliere. Forza significa rendere obbligatorio l'uso di caratteri speciali, case-mixing, ecc. Come ha detto il Wizard, l'autenticazione a due fattori è un approccio molto appropriato perché è possibile controllare la parte OTP di esso e consentire all'utente di scegliere qualsiasi password lui / lei desidera.
Leggi altre domande sui tag passwords password-policy