其他策略不仅难以实施，而且可能与 NIST 800-63b 的意图背道而驰。幸运的是，有多种黑名单解决方案，因此您可能不需要（或不想要）其他策略。

这是我的推理。

首先，从 800-63b 的 5.1 节中总结出直接适用于检查用户密码质量的验证器（例如密码）部分。

必需的：

• 身份验证器（密码）必须是：
  • 最少 8 个字符

• 身份验证器还使用“已知常用、预期或受损的值”（您问题的核心）检查黑名单 - 至少以下之一：

  • 从以前的违规语料库中获得的密码
  • 字典单词
  • 重复或连续字符（例如'aaaaaa'、'1234abcd'）
  • 特定于上下文的词，例如服务名称、用户名及其派生词
• 如果在黑名单中找到：
  • 告知订阅者他们需要选择不同的秘密
  • 提供拒绝的理由
  • 要求订阅者选择不同的值

根据我的阅读，800-63b 第 5.1 节的意图似乎是：

• 首先防止用户使用列入黑名单的密码

• 培训用户了解密码选择不佳的原因

如果直接通过密码更改界面无法做到这一点，则其他策略将需要通过人工策略强制实施这些目标。这将需要：

• 用户在黑名单中查找密码的另一种方法。由于 Windows 密码更改界面在设计上是专用且隔离的，因此提供一种数字方式来做到这一点将是棘手的（而打印一本书将是可用性和可维护性的噩梦！）

• 一种事后审计合规性的方法（通过使用黑名单作为字典来破解密码）。无论如何你都应该这样做......但在这种情况下，我认为它违背了 NIST 指南的目的（以确保从一开始就永远不会使用列入黑名单的密码）

幸运的是，您不需要其他策略，如果您只需要执行以下操作：

• 验证最小长度。库存 AD 复杂性要求已经允许这样做。

• 实施黑名单。有商业（Anixis 等）和 FOSS（https://github.com/jephthai/OpenPasswordFilter）解决方案。

换句话说，替代策略不仅不需要——它们不切实际，提供了困难的用户体验……而且实际上可能不合规。