मैंने इस पर कुछ पोस्ट देखी हैं, लेकिन मैंने एक निश्चित उत्तर जरूरी नहीं देखा है। इसलिए, मैंने सोचा कि मैं एक नए संदर्भ (रक्षा विभाग) में प्रश्न को फिर से शुरू करने का प्रयास करूंगा।डीओडी पासवर्ड जटिलता: उपयोगकर्ता अपने पिछले एक्स पासवर्ड का पुन: उपयोग नहीं कर सकते
पासवर्ड होना चाहिए कम से कम 15:
DISA के "Application Security and Development STIG, V3R2", खंड 3.1.24.2 पासवर्ड जटिलता और रखरखाव के अनुसार, DoD उद्यम सॉफ्टवेयर पासवर्ड के साथ काफ़ी कठिन दिशानिर्देश है लंबे पात्रों।
पासवर्ड में ऊपरी केस अक्षरों, निचले केस अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण होना चाहिए।
जब कोई पासवर्ड बदल जाता है, तो उपयोगकर्ता नाम, टेलीफोन नंबर, खाता नाम या शब्दकोश शब्द जैसे व्यक्तिगत जानकारी का उपयोग करने में सक्षम नहीं होना चाहिए।
पासवर्ड 60 दिनों के बाद समाप्त हो जाना चाहिए।
उपयोगकर्ता अपने पिछले 10 पासवर्ड का पुन: उपयोग करने में सक्षम नहीं होना चाहिए।
सुनिश्चित करें कि एप्लिकेशन में पासवर्ड बदलने के बाद कम से कम चार वर्णों से पिछले पासवर्ड से नए खाते के पासवर्ड अलग-अलग होने की आवश्यकता है।
उपयोगकर्ता किसी दिन या एक बार विशेषाधिकार प्राप्त उपयोगकर्ता के मामले में से अधिक पासवर्ड बदलने में सक्षम नहीं होना चाहिए। विशेषाधिकार प्राप्त उपयोगकर्ताओं को उपयोगकर्ता के भूल गए पासवर्ड और पासवर्ड प्रतिदिन एक से अधिक बार बदलने की क्षमता को रीसेट करने की आवश्यकता हो सकती है।
के रूप में, NullUserException's post में कहा गया है डेवलपर के लिए वास्तव में पासवर्ड की अंतिम X राशि के लिए जाँच करने के लिए सक्षम होने के लिए (और यह भी सुनिश्चित करें कि नया पासवर्ड को पासवर्ड से अलग [गोली 6]), पासवर्ड पासवर्ड को हश करने के बजाए एक रिवर्सिबल विधि का उपयोग करके एन्क्रिप्टेड होना होगा (जो कि बहुत अधिक असुरक्षित है, भले ही मैं एनएसए अनुमोदित एन्क्रिप्शन एल्गोरिदम का उपयोग कर रहा हूं)। प्रस्तावित उत्तर एक सौदा करने का प्रतीत होता था, हालांकि Dan Vinton's post में देखा गया कुछ विसंगतियों और तर्कों के रूप में प्रतीत होता था।
मुझे लगता है कि असली सवाल यह है कि कोई भी इन सभी सामान्य रूप से सामान्य पासवर्ड जटिलता बाधाओं को लागू करने में सक्षम है, वास्तव में उनके सिस्टम की सुरक्षा को कम किए बिना?
संपादित करें: भेद्यता APP3320.7 (बुलेट बिंदु 6) कहा गया है "सुनिश्चित करें कि आवेदन की आवश्यकता होती हैं करने के लिए है कि नए खाते के पासवर्ड कम से कम चार पात्रों द्वारा पिछले पासवर्ड से अलग है जब एक पासवर्ड बदल जाता है । " इससे मेरा मानना है कि मुझे समानता की जांच करने के लिए लेवेनशेटिन जैसे एक स्ट्रिंग समानता एल्गोरिदम चलाने होंगे। मैं इसे हैश/नमक पर नहीं कर सकता। अगर मैं यहाँ गलत हूं तो कृपया मुझे बताएं?
ये दो: "पासवर्ड 60 दिनों के बाद समाप्त हो जाना चाहिए।" और "उपयोगकर्ता अपने पिछले 10 पासवर्ड का पुन: उपयोग करने में सक्षम नहीं होना चाहिए।" उपयोगकर्ताओं को पासवर्ड लिखने के लिए नेतृत्व। कम सुरक्षित .... यह ऐसी प्रणाली नहीं है जो आम तौर पर सबसे कमजोर बिंदु हैं: लोग हैं .... –
पिछले पासवर्ड का पुन: उपयोग करने से मना कर दिया क्यों आपको पासवर्ड को उलटा करने की आवश्यकता है? निश्चित रूप से यदि आप एक्स पिछले हैश/लवण को स्टोर करते हैं तो यह देखने के लिए काफी आसान है कि प्रस्तावित नया पासवर्ड इनमें से किसी भी –
@FrederickCheung से मेल खाता है या नहीं। आप जांचने के लिए हैश का उपयोग कर सकते हैं, जैसे कि लॉगिन प्रमाणित करता है। –