<div dir="ltr">Most organizations ask their users to change their passwords periodically, and also have some kind of mandatory password complexity requirement. One day when I talked about this with some colleagues, I found out quite a few of them used a strong password, but changed only one character, probably increase a number there, when asked to change it. Like from Ik0FmU>Hf to Ik1FmU>Hf to Ik2FmU>Hf<span style="color:rgb(167,37,63);font-family:SFMono-400,Menlo,"Segoe UI Mono","Roboto Mono","Oxygen Mono","Ubuntu Mono","Inconsolata 10","Fira Mono","Droid Sans Mono","Andale Mono",monospace;font-size:16px;text-align:center;white-space:pre;background-color:rgb(230,246,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">
</span><div>I think this is compromising the security, like writing it down on a post-it on your monitor. But I can't think of a way to prevent this technically. We shouldn't store the clear-text password of course. And we should not find any clue on the similarity by just looking at the encrypted text if it's a good encryption algorithm. How do we know the user only changed one character?</div><div>Maybe we can pre-calculate all the variations when user specifies a password and store the all the encrypted strings? But that's a waste of resources, right?</div><div>And that might in fact push some users to using the post-it...</div><div><br></div><div><br></div><div>Regards,</div><div><br></div><div>Raymond</div></div>