LDAP/AD имеет политику паролей, которая может принудительно применять историю паролей.
Но включает ли история паролей текущий эффективный пароль как один из паролей истории?
Вопрос: 1. Записывает ли AD текущий эффективный пароль в историю паролей? 2. Насколько я знаю, OpenDJ не записывает текущий пароль в историю. Почему
Вопрос 2: история паролей — это механизм отслеживания паролей, используемый для предотвращения повторного использования им одного из N последних паролей, поскольку служба (или администратор) вынуждает его сменить пароль через определенное время. Текущий пароль никогда не сохраняется в истории, так как в истории представлены предыдущие пароли, а не тот, который используется для аутентификации пользователя. OpenDJ не включает историю паролей по умолчанию, потому что продукт OpenDJ используется во многих различных контекстах, но очень часто в сценариях, связанных с идентификацией клиентов, где принуждение пользователей менять свои пароли каждые N месяцев не является лучшей практикой и, следовательно, предотвращает их повторное использование. тогда предыдущий пароль не нужен. Обратите внимание, что в последней версии рекомендаций NIST по паролям говорится, что принудительная смена пароля через N месяцев больше не является лучшей практикой, поскольку это приводит к тому, что пользователи используют пароли, которые легко запомнить и угадать, или записывают их в заметках PostIt ( так как меняются часто, и поэтому слишком легко забыть). Вместо этого NIST рекомендует, чтобы службы требовали более длинный пароль, но меняли его только в случае риска его компрометации.
