El DISA Application Developer STIG especifica:
ID de grupo (Vulid): V-69565
ID de la regla: SV-84187r1_rule
Versión de la regla (STIG-ID): APSC-DV-001730
Título de la regla: La aplicación debe requerir el cambio de al menos 8 de la cantidad total de caracteres cuando se cambian las contraseñas.
El Comprobar contenido no es menos vago:
Cuando se le solicite que proporcione la contraseña, intente cambiar menos de 8 caracteres del número total de caracteres en la contraseña.
Si se cambian menos de 8 caracteres de la contraseña, este es un hallazgo.
Mi equipo y yo estamos teniendo dificultades para determinar la interpretación oficial de esta regla. ¿Cuenta el índice? ¿La adición de 8 nuevos caracteres a su contraseña original cuenta como 8 cambios?
Terminamos determinando la diferencia usando el algoritmo Levenshtein Distance , pero tememos que nuestro éxito pueda ser determinado por el subjetivo interpretación de otra persona que pueda realizar pruebas / escaneos IA en nuestra aplicación en el futuro.
¿Existe alguna definición técnica "oficial" de "cambio de al menos 8 caracteres"?