为什么修改密码要有"不能是最近用过的密码"这一设定?

大概是用来限制帐号被封后修改密码解除封禁的？这种封号一般是怀疑你被盗号了才做出违规行为，给你一次机会，不直接封禁。

安全措施啊。比如保存了旧密码的设备丢失，你在新设备设置的新密码不会在指定次数内容重复。
一定要用原来密码可以临时修改几十次不同密码，再修改回去原来，毕竟这个再怎么记录也不可能无限制吧。

你改完之后再改就可以改回去，美曰其名是安全性，其实就是防你账号共享……然后机器学习下记得密码规则。

@XOXO360 QQ 之类会存明文密码吗？

@dingwen07 加密后对比..

@dingwen07 这个东西肯定是多份的，日志里总是明文吧，然后大数据直接解析日志，应该说不同级别的数据库吧，业务数据库校验的是加密对比，但是点到点之间的数据流中呢，所以说最多一般人，或者拖库拖不到，某些不可描述离线数据库里就是明文。自己应该有判断吧

好多网站都这样，要记好几个密码，感觉确实不方便

还不是产品经理拍脑门决定的

确实是安全性着想

一般你想改密码是因为前一个密码泄露了之类的情况，所以不许你使用近期用过的密码

@XOXO360

#3 微软和 Google 也不许使用近期用过的密码，也是防止你共享账号咯？

#6 为什么你们都认为日志里面会有明文密码……

之前支持前端 hash 的那个莫名其妙的帖子里的论据也是这个

难道你们都是服务器收到啥就原样 log 啥的么？

原来公司笔记本的 windows 域密码要求几个月必须更换，不能跟过去几次重复。如果没有这个不能重复的限制，到改密码的时候肯定很多人就两个密码交换用了。

更烦的设定是“不允许使用与最近用过的密码相似的密码”

@XOXO360 机器学习？这么叼。

想用政策挑战人的惰性的尝试最终必然以失败告终
前公司绝大部分被 Windows 要求每月改密码的
最后都是常用密码+月份
后来有人做了规则来识别这种
于是大家改成了月份+常用密码...

旧密码可能是被盗的密码，怕被人试出来

@lucifer9 “做了规则来识别这种” 这个规则是不是涉及到了明文密码了啊？

想了好一会儿。要是不知道明文，那么模式好难识别啊。要是知道，那么直接算个 edit distance 就行。但是这个变成为了政策更加不安全了。

我觉得有个规则挺简单好用的。就是两次修改的密码间隔不得低于 N 小时。要是有人非要执着于某个密码，那么就要花费超过 1 天时间去搞这个。
那么你想偷这个懒，那就不能偷那个懒。

@yuikns #15 如果你是说 Windows 的话，有个选项 “ Store passwords using reversible encryption ”，出于业务要求有时候必须打开。然后就可以各种骚操作。如果是说 LDAP 之类，正常思路是让前端在改密码的页面里面写好 validator。

@lucifer9 #13 +1.其实已经有研究说明这些强行要求改密码的行为，最终只会导致密码越来越简单越来越有规律。所以现在都不再要求强行改密码了，而是采用二次验证，生物信息识别之类的措施保证安全。