При реализации объекта групповой политики для Active Directory один из коллег упомянул, что они реализовали такой, который запрещает выбор «аналогичного» нового пароля, то есть «пароль1» не может быть изменен на «пароль2».
Поскольку AD хранит все пароли в виде хэшей, а хеш-значения двух вышеперечисленных вариантов будут заметно отличаться и определенно не связаны между собой - как это возможно?
Описываются вещи, которые можно реализовать с помощью стандартных политик паролей. Вот.
Один из возможных вариантов - предотвратить повторное использование паролей. Администратор может установить, сколько старых паролей будет сохраняться. Насколько мне известно, это не позволяет пользователям использовать одинаковые пароли, но не мешает им использовать одинаковые пароли.
Другая возможность состоит в том, что пароль может храниться с обратимым шифрованием. Это еще один стандартный вариант, который можно установить в домене. Большинство экспертов по безопасности полагают, что включение этого параметра - очень плохая идея.
Вы спросили, как система могла это сделать.
Я вижу, что он предлагает вариант. Это скорее академический вопрос - есть идеи, как это работает с хешированием, описанным выше?
При изменении пароля на контроллер домена передается обратимая версия пароля. Существуют ловушки, с помощью которых приложение может перехватить запрос на смену пароля и получить незашифрованную версию пароля. Вот один проект OSS, который предоставляет ловушку (http://passwdhk.sourceforge.net/).
Предположительно, упомянутый выше захватывает изменяемые пароли и затем сохраняет их, используя обратимое шифрование. При смене пароля приложение, вероятно, расшифрует все пароли и будет использовать что-то вроде расстояние Левенштейна чтобы увидеть, достаточно ли разные пароли.
Единственное, что есть в AD по умолчанию, - это возраст, длина и сложность. Сложность определяется как:
Не содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа
Быть длиной не менее шести символов
Содержат персонажей трех из следующих четырех категорий:
Заглавные буквы английского алфавита (от A до Z)
Английские строчные буквы (от a до z)
Базовые 10 цифр (от 0 до 9)
Неалфавитные символы (например,!, $, #,%)
Требования сложности применяются при изменении или создании паролей.
Я должен согласиться с «анонимным человеком», что вам понадобится сторонний продукт, чтобы добавить эту возможность.