A ver si cunde el ejemplo.

Hasta los huevos de sitios web que me pidan cambiar la contraseña y se acuerden de las antiguas. Se merecen acabar en un postit enganchado al monitor.

#1 pues si, yo me se de gente que lo que hace es poner varias contraseñas intermedias para ver si el sistema no se acuerda de todas las anteriores para poner la de siempre.

- Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Su cuenta se ha bloqueado. Recibirá un email para reiniciarla.

...Abriendo email... accediendo al link...

- Introduzca su NUEVA contraseña:
- Calentito123
- ERROR. La nueva contraseña no puede ser igual a la anterior.

Ya era hora de que le entrase el conocimiento a alguien y no sólo a los que peregrinamos a Santiago a dar con las cabeza en el pilón.

Hartos de que la gente añadiese el número del mes a la misma contraseña de siempre.

#5 los sistemas mas estrictos te rechazan eso por ser demasiado similar
security.stackexchange.com/questions/139738/company-can-tell-if-new-an

#6 Es una buena idea, pero me entra la duda de como lo consiguien.

Si el cifrado es bueno, no pueden saber si la nueva es similar o no a la antigua. Si comparan las claves sin cifrar, significa que han de tenerlas en texto plano o descrifrable en alguna parte, lo cual también es mala práctica. La única opción que veo posible sin cargarse demasiado los protocolos de seguridad es que lo comprueben en texto plano cuando te obligan a meter la antigua para cambiarla, como dice el del enlace, pero esto te sirve solo para el último cambio, así que puedes ir iterando entre dos estrategias.

#2 Hasta 10 veces he intentado yo en alguna ocasión, pero a veces ni con esas.

#8 windows por lo visto recuerda hasta 24
www.tenforums.com/tutorials/87596-enforce-password-history-local-accou

#7 "Una cadena es tan resistente como el más debil de sus eslabones". En este caso el eslabón débil es el propio usuario. Por muy buen cifrado que tengas si de alguna manera consiguen pillarte la contraseña antigua es posible que en pocos intentos sean capaces de averiguar la nueva basándose en simple ingeniería social. Es por eso conveniente que el sistema no te deje poner como nueva contraseña una que sea muy similar a la antigua. Por ejemplo, si mi contraseña fuera "coche1" y me la descubren cuando la cambie lo primero que van a intentar es probar con "coche2", "coche11" a ver si he sido vago.

Otra cosa que hay que tener en cuenta a nivel general. Las contraseñas basura. Hay montones de servicios que requieren login con usuario y contraseña. Pero no es lo mismo tu cuenta del banco que la de un foro para comentar juegos. En las que son del segundo tipo es mejor usar contraseñas basura, de usar y tirar, de forma que si de alguna manera el sitio de ve comprometido a ti no te supone mayor problema más que cambiar a otra contraseña basura o incluso crear otra cuenta si fuera necesario. El que haya robado tu contraseña basura poco va a poder hacer con ella de esta forma.

A mí en auditorías externas de consultoras "reputadas" me ponían no conformidades porque yo tenía desactivada en las políticas de grupo el cambio forzoso de contraseña.
Les intenté explicar por activa y por pasiva los problemas asociados pero nada, no había manera de hacerles entender.
Ya no me dedico a eso así que me imagino que mi sustituto pasó por el aro.

#3 Parece cachondeo pero me ha ocurrido

#6 yo pongo mes y año y nunca un problema