ユーザーが自分のパスワードを変更するとき、または管理者がユーザーパスワードを変更するときは、最後の3つのパスワードと同じであってはなりません。この検証はどのように行うことができますか?password_policyモジュールをインストールしました。しかし、この制約を適切に検証していません。誰かがこれを達成する方法を教えてもらえますか?モジュールもインストールphpassしましたが、このモジュールに影響しますか?この問題を解決するのを手伝ってください。
質問する
363 次
1 に答える
2
パスワード ポリシーモジュールのページによると、以下をサポートしていると書かれています。
履歴の制約 (最近の重複を探して、以前にハッシュされたユーザーのパスワードのコレクションに対してハッシュされたパスワードをチェックします)
したがって、私の最初の傾向は、phpassこれが潜在的に影響しているということです。これをテストして確認するためにモジュールを無効にすることは可能ですか?phpass
実際、セキュア パスワード ハッシュモジュールのページによると、別のアルゴリズムを使用してユーザーのパスワードを保存しています。Password policyはパスワードの履歴をハッシュとして保存するためmd5(Drupal 6 の場合)、これphpassを考慮しないと問題が発生する可能性があります。
この関連するphpassモジュールの問題を見てください。表をチェックしpassword_policy_historyて、特定のユーザーのパスワード ハッシュの履歴が、 によって作成された同じユーザーの現在のパスワード ハッシュと一致するかどうかを確認することもできますphpass。
于 2013-03-18T04:38:57.770 に答える