LDAP / AD具有可以强制执行密码历史记录的密码策略。
但密码历史记录是否包含当前有效密码作为历史密码之一?
问题: 1. AD是否将当前有效密码记录到密码历史记录中? 2.据我所知,OpenDJ不会将当前密码记录到历史记录中。为什么
答案 0 :(得分:0)
问题2:密码历史记录是一种跟踪密码的机制,用于阻止他重复使用N个最新密码中的一个密码,因为服务(或管理员)强迫他在一定时间后更改密码。当前密码永远不会出现在历史记录中,因为历史记录代表以前的密码,而不是用于验证用户的密码。 默认情况下,OpenDJ不启用密码历史记录,因为OpenDJ产品在许多不同的环境中使用,但在面向客户身份的情况下经常使用,强制用户每N个月更改一次密码并不是最佳做法,因此阻止它们然后重用以前的密码是不必要的。 请注意,NIST对密码建议的最新修订版表示,在N个月后强制更改密码不再是最佳做法,因为它会导致用户使用易于记忆和猜测的密码,或者在PostIt笔记上写入密码(因为经常变化,因而太容易忘记)。相反,NIST建议服务需要更长的密码,但只有在存在泄密风险的情况下才能更改密码。