当用户更改密码或管理员更改任何用户密码时,它不应与其最后3个密码相同。
如何进行验证?我已经安装了password_policy模块。但它没有正确验证这种约束。
任何人都可以告诉我如何实现这一目标吗?我也安装了phpass模块,它对这个模块有影响吗?
请帮我解决这个问题。
答案 0 :(得分:2)
根据Password policy模块页面,它表示支持:
历史记录约束(检查针对用户集合的哈希密码,以前的哈希密码查找最近的重复项)
所以我的第一个倾向是phpass可能会影响到这一点。是否可以禁用 phpass模块进行测试并确认?
实际上,根据Secure Password Hashes模块页面,它使用不同的算法来存储用户的密码。由于Password policy将密码的历史记录存储为md5哈希值(在Drupal 6中),如果phpass没有考虑到这一点,这可能会导致问题。
看看这个相关的phpass module issue。您还可以检查password_policy_history表,查看给定用户的密码哈希历史记录是否与phpass创建的同一用户的当前密码哈希匹配。