在实施活动目录的GPO时,一位同事提到他们已经实现了一个不允许select“相似”新密码的方法 – 即“password1”不能被改为“password2”。
AD将所有密码视为散列,而上述两个选项的散列将显着不同,当然不相关 – 这怎么可能?
这里描述了可以用标准密码策略实现的事情。
其中一种可能的select是防止重复使用密码。 pipe理员可以设置保存多less旧密码。 据我所知,这只能防止用户使用相同的密码,这并不妨碍他们使用相同的密码。
另一种可能性是密码可以通过可逆encryption进行存储。 这是另一个可以在域上设置的标准选项。 大多数安全专家build议,这是一个非常糟糕的主意。
你问了一个系统如何做到这一点。
我看到它提供了选项。 然而,这更多的是一个学术问题 – 关于如何工作而不是上面描述的哈希的想法?
当密码发生更改时,会将密码的可逆版本发送到域控制器。 应用程序可以拦截密码更改请求并获取未encryption的密码。 这是一个提供钩子的OSS项目( http://passwdhk.sourceforge.net/ )。
据推测,提到抓取他们正在更改的密码,然后使用可逆encryption存储它们。 当密码被更改时,应用程序可能会解密所有的密码,并使用像levenshtein距离的东西,看看是否有足够的不同密码。
AD中唯一默认的是Age,Length和Complexity。 复杂性被定义为:
不包含超过两个连续字符的用户的帐户名称或部分用户的全名
至less有六个字符的长度
包含以下四个类别中的三个字符:
英文大写字母(A到Z)
英文小写字母(a到z)
基地10位数字(0到9)
非字母字符(例如!,$,#,%)
在更改或创build密码时强制执行复杂性要求。
我不得不同意“匿名男子”,你必须有一个第三方产品来增加这个能力。