Me refiero a la contraseña "recordada" que mantiene el dominio para que un usuario no pueda volver a usar esa contraseña hasta que haya caducado en lo que se estableció en la Política de contraseña en DC (W2003 / W2008).
¿Dónde se almacena el historial de contraseñas?
Los hashes históricos de contraseñas se almacenan en el SAM junto con el actual, por lo que son igualmente fáciles de romper.
Solía realizar auditorías de seguridad de contraseñas para grandes financieros, y parte del resultado sería el análisis de la cantidad de personas que reutilizaron contraseñas con solo un cambio en el dígito final (¡adivine qué tan alto es el porcentaje!) PWDump y John the Ripper los recorrió con bastante alegría :-) De hecho, podrías obtener algunos beneficios del historial de contraseñas que podrían ayudarte a romper los que el forzador de brutos no pudo obtener fácilmente.
Para eliminar estos hashes históricos, puede intentar establecer el historial en 0 en la configuración de seguridad y aplicar un cambio de contraseña. Eso podría hacerlo, pero honestamente no lo sé. En cualquier caso, esto anula totalmente su política de historial de contraseñas si desea mantener una.
No puedo encontrarlo ahora, pero he visto una propuesta de investigadores académicos a Microsoft sobre cómo podrían solucionar esto. Tienen un esquema de cifrado para preservar la funcionalidad actual (creo que las políticas del historial de contraseñas), pero evitan los ataques normales a las contraseñas antiguas.
Lea otras preguntas en las etiquetas passwords password-management windows active-directory