<div dir="ltr"><div>> <span style="color:rgb(0,0,0);font-size:12.8000001907349px">Disallow reuse of passwords (store MD5 hashes somewhere)</span><br></div><div><span style="color:rgb(0,0,0);font-size:12.8000001907349px"><br></span></div><div><font color="#000000"><span style="font-size:12.8000001907349px">I wouldn't personally suggest doing this (and if you are going to do it, I certainly wouldn't store them as MD5 hashes).</span></font></div><div><font color="#000000"><span style="font-size:12.8000001907349px"><br></span></font></div><div><font color="#000000"><span style="font-size:12.8000001907349px">Presumably you're generating a new salt and strongly hashing the password each time it's changed, as such your easiest choice is storing a history of prior salt/hash combinations and comparing against these.  Still, I'm not sure I'd recommend spending too much time caring about password reuse, because unless you're going to disallow password reuse for all time, you aren't actually preventing someone from reusing a password anyway (they just need to go through N+1 quick password change iterations to get back to where they started).</span></font></div><div><font color="#000000"><span style="font-size:12.8000001907349px"><br></span></font></div><div><font color="#000000"><span style="font-size:12.8000001907349px">Some related reading:</span></font></div><div><font color="#000000"><span style="font-size:12.8000001907349px"><br></span></font></div><div><font color="#000000"><span style="font-size:12.8000001907349px"><a href="http://security.stackexchange.com/questions/85074/is-it-safe-to-store-a-password-hash-history-for-preventing-user-to-keep-same-pas">http://security.stackexchange.com/questions/85074/is-it-safe-to-store-a-password-hash-history-for-preventing-user-to-keep-same-pas</a></span><br></font></div><div><font color="#000000"><span style="font-size:12.8000001907349px"><br></span></font></div><div><span style="color:rgb(0,0,0);font-size:12.8000001907349px">-Chris</span><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 7, 2015 at 10:53 AM, Joel Limardo <span dir="ltr"><<a href="mailto:joel.limardo@forwardphase.com" target="_blank">joel.limardo@forwardphase.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>If I'm not mistaken a strength meter tells the user 'hey..your password is weak' which doesn't *force* them to change the password *nor* does it tell them how to make a better one. As a rule of thumb, once you find yourself acting on more than one assumption it is a good sign that you have too many variables on hand to make a workable design. <br><br></div>I would instead a) force the user to enter a password of an appropriate length with certain characters like numbers and symbols b) periodically ask users to update their password (every 3 months, etc.) c) Disallow reuse of passwords (store MD5 hashes somewhere) d) check IP addresses to identify potential unauthorized access.<div><div class="h5"><br><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 7, 2015 at 9:35 AM,  <span dir="ltr"><<a href="mailto:richard@rushlogistics.com" target="_blank">richard@rushlogistics.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I am using perl dancer to create a new user login page. I was surfing arround to try to find how to create a password strength meter when I found this <a href="http://www.perlmonks.org/?node_id=948997" rel="noreferrer" target="_blank">http://www.perlmonks.org/?node_id=948997</a> which has me second-guessing as to whether having one is even a good idea. Can anyone lend some insight in this matter and perhaps where to go get a good one if you believe they are a good idea?<br>
<br>
Thanks,<br>
<br>
Richard<br>
_______________________________________________<br>
Chicago-talk mailing list<br>
<a href="mailto:Chicago-talk@pm.org" target="_blank">Chicago-talk@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/chicago-talk" rel="noreferrer" target="_blank">http://mail.pm.org/mailman/listinfo/chicago-talk</a><br>
</blockquote></div><br><br></div></div></div></div></div></div>
<br>_______________________________________________<br>
Chicago-talk mailing list<br>
<a href="mailto:Chicago-talk@pm.org">Chicago-talk@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/chicago-talk" rel="noreferrer" target="_blank">http://mail.pm.org/mailman/listinfo/chicago-talk</a><br></blockquote></div><br></div>