私たちは、ユーザーがパスワードを変更したときに以前のパスワードと少なくとも75%異なるルールを適用したいと考えています。新しいパスワードを以前のパスワードと75%異なる必要があるルールは、どのようにしっかりと施行できますか?
今のところパスワードは一方向ハッシュで保存されています。私たちはパスワードのセキュリティを弱めるので、それを変更したくないです。
元のパスワードを取得できない場合は、新しいパスワードが75%違うかどうかをどのように判断できますか?
パスワードを変更する際に古いパスワードを尋ねます(おそらくこれをやっているはずです)。今度はサーバーのメモリに古いパスワードを持っています
ユーザーが自分のパスワードを変更すると意味があります。管理者がそれを変更したときにそれを行う方法はありますか?管理者は、ユーザーの古いパスワードを知らないかもしれません。 –
@ JoshYeagerおそらく、管理者にユーザーのパスワードを知らせたくない(長い間)。管理者に長い非常にランダムなパスワードを生成させてから、パスワードリセットメールをお客様に送信してください –
私に明白な答えをくれてくれてありがとう - 私はそれを考えなかった。私たちはまだ作業するためにもっと多くの問題があるかもしれないと思いますが、あなたのアイデアは良いスタートです。 –
いくつかのWebサイトでは、古いパスワードと新しいパスワードを同じページに入力しなければなりません。この時点で古いパスワードを取得して比較することができます。 – Joe
あなたの顧客に、そのようなルールはしばしば、何らかの利益をもたらす代わりに**セキュリティを低下させると納得させる。人々は強力なパスワードのトンを覚えていないので、弱いパスワードに切り替えるでしょう - そして、彼らは非常に発明的になることができます。このようなルールはまた、良いパスワードスキームにも影響します。 – martinstoeckli