LDAP/AD 有一个密码策略,可以强制执行密码历史记录。
但是密码历史记录是否包括当前有效密码作为历史密码之一?
问题: 1. AD是否将当前有效密码记录到密码历史记录中? 2. 据我所知,OpenDJ 不会将当前密码记录到历史记录中。为什么
问题 2:密码历史记录是一种跟踪密码的机制,用于防止他在服务(或管理员)强制他在一定时间后更改密码时重复使用 N 个最近的密码之一。当前密码永远不会在历史记录中,因为历史记录表示以前的密码,而不是用于验证用户的密码。 OpenDJ 默认情况下不启用密码历史记录,因为 OpenDJ 产品用于许多不同的上下文,但经常用于面向客户身份的场景,其中强制用户每 N 个月更改一次密码不是最佳实践,因此防止他们重复使用以前的密码是不必要的。 请注意,NIST密码建议的最新版本表明,在N个月后强制更改密码不再是最佳实践,因为它导致用户使用易于记忆和猜测的密码,或者将它们写在PostIt笔记上(因为经常更改,因此很容易忘记)。相反,NIST建议服务需要更长的密码,但只有在存在泄露风险时才更改密码。