多くのオペレーティングシステムは、いくつかはまた、新しいパスワード」とポリシーを適用施行
などなど、すべてのn日パスワードの変更などのパスワードに一定の制約を強制は以前から少なくともn文字に異なっていなければなりませんパスワードを入力してください。
私の質問は、パスワードをクリアテキストで実際に保存することなく、そのようなポリシーをどのように施行できるかです。具体的には、パスワードを平文で保存するのではなく、むしろハッシュしたい場合は、どうすればこのようなポーリングを実行できますか?
ありがとうございます!
できません。パスワードが古いハッシュと比較して最後のN個のパスワードと一致しないことを確認できますが、文字レベルまで下がったものは簡単に適用できません。
本当にやりたければ、おそらく1つまたは2つの文字の違いをブルートフォースできます。 (新しいパスワードから可能なすべての2文字の変更をハッシュするだけです)しかし、新しいアルゴリズムがハッシングにどのように依存するかを考えると、現代のパスワードハッシュ関数では現実的ではありません。
クリアテキストは、すべての実用的な目的でローカル暗号化と同じであると仮定しています。一部のシステムでは、元のパスワードを暗号化して保存するため、元のパスワードを確認または回復できるようになります。もちろん、ハッシングの利点はほとんどありません。