डीओडी पासवर्ड जटिलता: उपयोगकर्ता अपने पिछले एक्स पासवर्ड का पुन: उपयोग नहीं कर सकते

Question

मैंने इस पर कुछ पोस्ट देखी हैं, लेकिन मैंने एक निश्चित उत्तर जरूरी नहीं देखा है। इसलिए, मैंने सोचा कि मैं एक नए संदर्भ (रक्षा विभाग) में प्रश्न को फिर से शुरू करने का प्रयास करूंगा।

• पासवर्ड होना चाहिए कम से कम 15:

  DISA के "Application Security and Development STIG, V3R2", खंड 3.1.24.2 पासवर्ड जटिलता और रखरखाव के अनुसार, DoD उद्यम सॉफ्टवेयर पासवर्ड के साथ काफ़ी कठिन दिशानिर्देश है लंबे पात्रों।

• पासवर्ड में ऊपरी केस अक्षरों, निचले केस अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण होना चाहिए।

• जब कोई पासवर्ड बदल जाता है, तो उपयोगकर्ता नाम, टेलीफोन नंबर, खाता नाम या शब्दकोश शब्द जैसे व्यक्तिगत जानकारी का उपयोग करने में सक्षम नहीं होना चाहिए।

• पासवर्ड 60 दिनों के बाद समाप्त हो जाना चाहिए।

• उपयोगकर्ता अपने पिछले 10 पासवर्ड का पुन: उपयोग करने में सक्षम नहीं होना चाहिए।

• सुनिश्चित करें कि एप्लिकेशन में पासवर्ड बदलने के बाद कम से कम चार वर्णों से पिछले पासवर्ड से नए खाते के पासवर्ड अलग-अलग होने की आवश्यकता है।

• उपयोगकर्ता किसी दिन या एक बार विशेषाधिकार प्राप्त उपयोगकर्ता के मामले में से अधिक पासवर्ड बदलने में सक्षम नहीं होना चाहिए। विशेषाधिकार प्राप्त उपयोगकर्ताओं को उपयोगकर्ता के भूल गए पासवर्ड और पासवर्ड प्रतिदिन एक से अधिक बार बदलने की क्षमता को रीसेट करने की आवश्यकता हो सकती है।

के रूप में, NullUserException's post में कहा गया है डेवलपर के लिए वास्तव में पासवर्ड की अंतिम X राशि के लिए जाँच करने के लिए सक्षम होने के लिए (और यह भी सुनिश्चित करें कि नया पासवर्ड को पासवर्ड से अलग [गोली 6]), पासवर्ड पासवर्ड को हश करने के बजाए एक रिवर्सिबल विधि का उपयोग करके एन्क्रिप्टेड होना होगा (जो कि बहुत अधिक असुरक्षित है, भले ही मैं एनएसए अनुमोदित एन्क्रिप्शन एल्गोरिदम का उपयोग कर रहा हूं)। प्रस्तावित उत्तर एक सौदा करने का प्रतीत होता था, हालांकि Dan Vinton's post में देखा गया कुछ विसंगतियों और तर्कों के रूप में प्रतीत होता था।

मुझे लगता है कि असली सवाल यह है कि कोई भी इन सभी सामान्य रूप से सामान्य पासवर्ड जटिलता बाधाओं को लागू करने में सक्षम है, वास्तव में उनके सिस्टम की सुरक्षा को कम किए बिना?

---

संपादित करें: भेद्यता APP3320.7 (बुलेट बिंदु 6) कहा गया है "सुनिश्चित करें कि आवेदन की आवश्यकता होती हैं करने के लिए है कि नए खाते के पासवर्ड कम से कम चार पात्रों द्वारा पिछले पासवर्ड से अलग है जब एक पासवर्ड बदल जाता है । " इससे मेरा मानना ​​है कि मुझे समानता की जांच करने के लिए लेवेनशेटिन जैसे एक स्ट्रिंग समानता एल्गोरिदम चलाने होंगे। मैं इसे हैश/नमक पर नहीं कर सकता। अगर मैं यहाँ गलत हूं तो कृपया मुझे बताएं?

Answer 1

वर्णित वर्ण दूरी की आवश्यकता केवल (एक) पिछले पासवर्ड के लिए है, 10 पिछले नहीं। अपने पासवर्ड टूल को मानने के लिए वर्तमान पासवर्ड के साथ-साथ एक नया प्रवेश करने की आवश्यकता है, आप बस इसके खिलाफ जांच करें; वहां कुछ भी स्टोर करने की जरूरत नहीं है। (आपके द्वारा उल्लिखित पोस्ट में this answer पर भी ध्यान दिया गया है।)

पिछले 10 पासवर्डों में से किसी से मेल नहीं खाते की आवश्यकता, केवल पुराने हैंश के खिलाफ जांच करके संभाली जाती है।

Answer 2

पासवर्ड-व्युत्पन्न कुंजी उत्पन्न करने के लिए उलटा विधियों का उपयोग करना एक सुरक्षित अभ्यास नहीं है और आपको यह नहीं करना चाहिए। आपको सादे-पाठ प्रमाणीकरण जानकारी को या तो स्टोर नहीं करना चाहिए। चूंकि आप चाबियाँ संग्रहित करेंगे (और शायद नमक, यदि आप उस तरह की बुत में हैं), तो पिछले 10 कुंजियों की प्रतियां रखना और उनके खिलाफ नए सबमिट किए गए पासवर्ड की जांच करना मुश्किल है।