Passwords 当用户更改其密码时，是否有任何理由禁止他使用他过去可能使用过的任何密码？

我正在为我的网站实施忘记密码功能，在查看其他网站的最佳实践时，我发现gmail强制执行了这一点，而我查看的其他网站都没有强制执行这一约束

关于密码和密码安全，有很多相当过时的想法

如果一个用户的密码被泄露，那么不管他们在多少天后更改了密码，攻击者现在都会被系统阻止

如果该用户返回并重新使用其旧密码，则黑客可能会决定重试该帐户/密码并重新进入系统

当然，这带来了一系列全新的问题。这样用户就不会记住密码，他们就会开始把密码写在粘在显示器上的便笺上

---

就个人而言？在我工作过的所有网站上，我从来没有想过增加密码过期/或密码可重复使用的限制是很重要的。

我认为它提供的安全性几乎没有增加。你相信用户不会丢失他们的密码，但我想这是双向的

如果他们必须选择一个新密码，那么他们可能必须记下它，或者更可能再次忘记它。但是，如果他们有一个新密码，那么知道他们使用的密码的人就不太可能使用它访问您的网站

---

无论采用哪种方式，请确保您存储的是散列密码以供比较，而不是纯文本。

谢谢，是的，黑客可能决定重试帐户/密码这一事实似乎是唯一会被阻止的一点。OTOH，这可能会导致用户的可用性问题，这些用户的帐户尚未被泄露，但他们希望重新使用他们的旧密码。