Tenga algunas reflexiones sobre el tema, pero la idea general es que si un usuario ingresa una nueva contraseña, ¿es posible tener una alta confianza de que una contraseña no se está reutilizando en otro lugar? Por otro lado, me refiero a cualquier sistema no controlado por usted.
Si el usuario puede elegir su propia contraseña, entonces no, no es posible. Nada impide que el usuario reutilice alguna otra contraseña de otros sistemas que no controla, siempre que se ajuste a todos sus requisitos de contraseña.
Si no permite que un usuario elija su propia contraseña, pero genera una contraseña de alta entropía para ellos, entonces es posible - si elige una nueva contraseña aleatoria de 80 bits para ellos como LDhrcqKYcm es muy poco probable que antes de la generación esa contraseña se utiliza en cualquier otro sistema. Concedido una vez que se lo entregue al usuario, no hay nada que le impida memorizarlo y decidir utilizarlo en algún otro sistema que no ponga límites a su contraseña.
Desde una perspectiva técnica, creo que está claro que la respuesta es "no", ya que usted, presumiblemente, no conoce sus contraseñas en otro lugar e, idealmente, tampoco conoce sus contraseñas una vez establecidas en su sistema.
Creo que hay enfoques concebidos fácilmente para determinar las probabilidades estadísticas de que alguien está (o, como dijiste, no) reutilizando una contraseña. Por ejemplo, una contraseña mal escogida o simple como "123456" puede ser más probable que pertenezca a alguien que reutiliza las contraseñas, mientras que una contraseña como "* lP (../# x9 '" probablemente pertenece a alguien que no lo hace.
Sin embargo, en cualquier caso, creo que sería lo suficientemente difícil determinar con "alta confianza" de cualquier manera que probablemente sería más valioso aceptar que la mayoría de la gente reutiliza las contraseñas y luego implementa los requisitos de la contraseña que desactivan la reutilización. o agregue la autenticación multifactor para mitigar la reutilización.
Sólo mis 2 centavos.
Lo único que se puede controlar lo suficientemente bien es la fortaleza de la contraseña que un usuario puede elegir. Por fuerza significa hacer obligatorio el uso de caracteres especiales, mezcla de mayúsculas, etc. Como dijo Wizard, la autenticación de dos factores es un enfoque muy apropiado porque puede controlar la parte de OTP y permitir al usuario elegir cualquier contraseña que desee.
Lea otras preguntas en las etiquetas passwords password-policy