Validation du mot de passe utilisateur avec son historique de mot de passe récent dans Drupal6

Question

Lorsque l'utilisateur change son mot de passe, ou admin modifie un mot de passe utilisateur, il ne doit pas être le même que ses 3 derniers mots de passe. Comment cette validation peut-elle être effectuée? J'ai installé le module password_policy. Mais cela ne valide pas correctement cette contrainte. Quelqu'un peut-il me dire comment y parvenir? J'ai également installé le module phpass, est-ce que cela affecte ce module? S'il vous plaît aidez-moi à résoudre ce problème.

Answer 1

Selon la page du module Password policy, il dit qu'il soutient:

contrainte Historique (chèques hachés mot de passe contre une collection d'utilisateurs précédents mots de passe hachés à la recherche de doublons récents)

Donc, mon première inclinaison serait que phpass est potentiellement influencer cela. Est-il possible de désactiver le module phpass pour tester cela et confirmer?

En fait, selon la page du module Secure Password Hashes, il utilise un algorithme différent pour stocker le mot de passe de l'utilisateur. Puisque Password policy stocke l'historique des mots de passe sous forme de hash md5 (dans Drupal 6), cela pourrait causer des problèmes si phpass n'en tenait pas compte.

Jetez un oeil à ce phpass module issue. Vous pouvez également consulter la table password_policy_history et voir si l'historique des hashes de mot de passe pour un utilisateur donné correspond au hachage de mot de passe actuel pour le même utilisateur créé par phpass.