É impedir que o usuário faça iterações em duas ou três senhas toda vez que a alteração obrigatória de senha ocorrer. Isso é um risco, porque a senha desse usuário favorito já pode ser conhecida pelo malvado.
O módulo pam_cracklib é capaz de consultar a "história" de senha de um usuário e não permitir a reutilização de senhas antigas. Qual o risco de segurança na reutilização de senhas antigas? Se esse trabalho for útil, quantos de senha devem ser mantidos como histórico?
É impedir que o usuário faça iterações em duas ou três senhas toda vez que a alteração obrigatória de senha ocorrer. Isso é um risco, porque a senha desse usuário favorito já pode ser conhecida pelo malvado.
O ponto principal das alterações de senha é ajudar a evitar a adivinhação do "cara malvado". Isso é especialmente útil se o sistema, sem saber, já tiver sido comprometido, pois impedirá que o invasor recupere facilmente o acesso.
Quantas senhas para manter no histórico realmente dependem de quantas vezes você exige uma alteração na senha. Eu experimentei sistemas corporativos que armazenaram 3 e 5 senhas no histórico. Eu pessoalmente não sinto que isso seja suficiente.
Eu me lembro do Windows 2000 usado para armazenar 24 senhas. Lembro-me disso enquanto trabalhava no departamento de TI da universidade e descobrimos um usuário que esgotaria seu histórico de redefinição de senha para poder manter sua senha preferida.
Aqui está a política recomendada que decidimos naquela época, que parecia remediar o problema:
Espero que ajude!