La contraseña puede no ser similar a las últimas 5 contraseñas [duplicar]

Ellos no necesitan tener las contraseñas en texto sin formato para poder verificar eso.
Podrían estar usando las mejores prácticas ( PBKDF2 ) y seguir detectando la reutilización de la contraseña.

Tiene el hash de la contraseña, el salt y el número de iteraciones (por ejemplo, salt: iterations: hash). Así que todo lo que tienen que hacer es mantener las últimas 5 contraseñas en PBKDF2 almacenadas en algún lugar y ejecutar el mismo algoritmo en las nuevas contraseñas. con las sales de las contraseñas antiguas y pueden determinar si la contraseña se usó antes o no.

La desventaja aquí es que solo puede verificar la coincidencia exacta e incluso si la capitalización de un solo carácter ha cambiado, no podrá verificar eso para las contraseñas más antiguas, pero ya que tiene que ingresar La contraseña actual para poder cambiar su pase, la aplicación puede tener acceso a la versión de texto simple en ese momento y tener controles más estrictos de su última contraseña. Y esto es lo que hace SAP, no puede ingresar exactamente las mismas contraseñas que tenía antes y también puede hacer que el usuario cambie al menos los caracteres "n" de su contraseña anterior en la nueva. ( Reference )

Los algoritmos de hash tienen salida pseudoaleatoria y el cambio de un solo bit en la entrada hace cambios impredecibles en la salida. Entonces, aparte de usar sales, iteraciones o lo que sea, incluso en el caso de un algoritmo de hash simple como md5 o sha-1, no hay forma de medir la similitud entre las entradas, solo tiene acceso a la salida de hash.

EDITAR: la pregunta era cómo se detectan las coincidencias, la respuesta a continuación es por similitud:

Cuando se utiliza un buen algoritmo de hash, las contraseñas iguales o similares nunca tendrán el mismo valor de hash. No se puede verificar la similitud de los hashes, solo la igualdad.

Podrían estar usando algo como hash borroso para verificar el nivel fundamental de similitud que da el porcentaje de similitud.