Molti utenti, me compreso, incrementano le ultime cifre di una password quando è necessario cambiarla regolarmente - ad es. 30/60/90 giorni.
Indipendentemente dal fatto che le modifiche forzate delle password siano un controllo di sicurezza efficace, non esiste un modo per identificare password simili e impedire che vengano impostate; e se c'è un modo, perché non viene regolarmente utilizzato?
Ad esempio:
-
Considera la nuova password (testo normale) e l'hash della password corrente
-
Identifica le cifre all'inizio o alla fine della nuova password e genera in sequenza 100 variazioni (ad es. Password55 - > Password54, Password53 ecc., Password56, Password57 ecc.) per identificare gli incrementi comuni.
-
Se uno qualsiasi degli hash risultanti corrisponde all'hash corrente, nega la modifica della password in quanto è troppo simile alla password esistente.
Questa funzione non sembra essere un'impostazione disponibile in Windows (almeno) e sono curioso di capire perché.
Saluti