¿Cómo determinar la cantidad de caracteres que se cambiaron entre dos contraseñas según la regla STIG del desarrollador de aplicaciones DISA SV-84187r1_rule?

4

El DISA Application Developer STIG especifica:

  

ID de grupo (Vulid): V-69565

     

ID de la regla: SV-84187r1_rule

     

Versión de la regla (STIG-ID): APSC-DV-001730

     

Título de la regla: La aplicación debe requerir el cambio de al menos 8 de la cantidad total de caracteres cuando se cambian las contraseñas.

El Comprobar contenido no es menos vago:

  

Cuando se le solicite que proporcione la contraseña, intente cambiar menos de 8 caracteres del número total de caracteres en la contraseña.

     

Si se cambian menos de 8 caracteres de la contraseña, este es un hallazgo.

Mi equipo y yo estamos teniendo dificultades para determinar la interpretación oficial de esta regla. ¿Cuenta el índice? ¿La adición de 8 nuevos caracteres a su contraseña original cuenta como 8 cambios?

Terminamos determinando la diferencia usando el algoritmo Levenshtein Distance , pero tememos que nuestro éxito pueda ser determinado por el subjetivo interpretación de otra persona que pueda realizar pruebas / escaneos IA en nuestra aplicación en el futuro.

¿Existe alguna definición técnica "oficial" de "cambio de al menos 8 caracteres"?

    
pregunta Austin Hill 03.02.2017 - 16:22
fuente

0 respuestas

Lea otras preguntas en las etiquetas