许多操作系统对密码强制执行某些限制,例如每n天更改一次密码等。
有些人还会执行一项政策,例如"新密码必须至少与之前的密码不同n个字符"。
我的问题是:如何在没有以明文形式存储密码的情况下强制执行此类策略。具体来说:如果我不想以明文形式存储密码,而是将als(盐渍)哈希存储起来,我将如何强制执行这种政策呢?
提前致谢!
答案 0 :(得分:1)
你不能。您可以通过将密码与旧哈希值进行比较来检查密码是否与最后N个密码不匹配,但是无法轻松应用任何降至字符级别的密码。
理论上,如果你真的想要这样做,你可能会强迫一两个角色区别。 (只是从新密码中散列所有可能的2个字符的变化)但是鉴于新算法依赖于散列的速度很慢,现代密码散列函数这是不现实的。
为了清楚起见,我假设明文与所有实际用途的本地加密相同。某些系统会加密并保存您的原始密码,以便他们验证或允许恢复。当然,这只能提供散列的好处。