La opinión general sobre las políticas de contraseña parece ser que las reglas de complejidad son contraproducentes para la seguridad debido a la naturaleza humana [1].
¿Esto también se aplica a las políticas de contraseña que prohíben la reutilización de las contraseñas que un usuario tenía en el mismo sistema? ¿Cuáles son los beneficios (o desventajas) reales de prevenir la reutilización de, por ejemplo, ¿Las 3 contraseñas más recientes? ¿Sería "lo suficientemente seguro" simplemente para evitar que la contraseña actual y la nueva sean idénticas?
Siguiendo la esencia de la respuesta vinculada anteriormente, siento que, por ejemplo, el usuario de un sistema específico tiene que cambiar su contraseña cada mes con una política de contraseña vigente que prohíba la reutilización de las 3 contraseñas utilizadas más recientemente, el usuario solo usaría la contraseña utilizada antes de la tercera más reciente. Por lo tanto, pasar por un grupo de 4 contraseñas en lugar de 3, se adhiere a la política de contraseñas pero se anula el propósito de la política.
Limitación:
- La contraseña debe ser recordada y escrita por un ser humano. Contraseña los administradores con contraseñas CSPRNG no son factibles en este escenario.
- La política para cambiar regularmente la contraseña no puede ser impugnada
[1] enlace