Nota: También he publicado una pregunta para este problema en sistemas que no son Windows .
En NIST SP 800-53 Rev. 3, IA-5 es el control que trata la "Administración del autenticador". Los requisitos de este control incluyen aspectos como la aplicación de la longitud de la contraseña, la complejidad, la vida útil, el historial y el almacenamiento / transmisión adecuados de las contraseñas.
La primera mejora para este control, que se selecciona para todos los sistemas (Bajo / Moderado / Alto) incluye este requisito:
El sistema de información, para autenticación basada en contraseña:
...
(b) Hace cumplir al menos una [Asignación: número de caracteres cambiados definido por la organización] cuando se crean nuevas contraseñas;
En los sistemas Windows, sé cómo aplicar contraseñas largas y complejas que se cambian regularmente y no exactamente coinciden con un cierto número de contraseñas antiguas. Pero, ¿cómo implementas una política que requiere que se cambie una cierta cantidad de caracteres con cada nueva contraseña?