Security 我们如何安全地执行要求新密码与前一个密码相差75%的规则?
我们有一位客户希望我们强制执行一项规则,即当用户更改其密码时,该密码与以前的密码至少有75%的差异 现在我们的密码是用单向散列存储的。我们不想改变这一点,因为这会削弱我们的密码安全性Security 我们如何安全地执行要求新密码与前一个密码相差75%的规则?,security,passwords,Security,Passwords,我们有一位客户希望我们强制执行一项规则,即当用户更改其密码时,该密码与以前的密码至少有75%的差异 现在我们的密码是用单向散列存储的。我们不想改变这一点,因为这会削弱我们的密码安全性 但是,如果我们无法获得原始密码,我们如何确定新密码是否有75%的差异?更改密码时询问旧密码(无论如何,您都应该这样做)。现在服务器内存中有了旧密码一些网站强制用户在同一页面上输入旧密码和新密码。此时您可以捕获旧密码并对其进行比较。让您的客户相信这些规则通常会降低安全性,而不会带来任何好处。人们无法记住大量的强密码,
但是,如果我们无法获得原始密码,我们如何确定新密码是否有75%的差异?更改密码时询问旧密码(无论如何,您都应该这样做)。现在服务器内存中有了旧密码一些网站强制用户在同一页面上输入旧密码和新密码。此时您可以捕获旧密码并对其进行比较。让您的客户相信这些规则通常会降低安全性,而不会带来任何好处。人们无法记住大量的强密码,所以他们会切换到弱密码,而且他们会变得非常有创造力。这样的规则也会干扰良好的密码方案。当用户更改自己的密码时,这是有意义的。当管理员为他们更改时,有什么方法可以做到这一点吗?管理员可能不知道用户的旧密码。@Joshyager您可能不希望管理员知道用户的密码(很长时间)。让管理员生成一个很长的随机密码,然后发送密码重置电子邮件给客户感谢他们给了我一个明显的答案-我没有想到这一点。我认为我们可能还有更多的问题需要解决,但你的想法是一个良好的开端。