阿里云IDaaS(应用身份服务)允许管理员对密码相关策略进行集中管理,以提升账户安全性。本文档详细介绍了IDaaS中的密码策略管理功能,包括密码复杂度、初始密码、定期改密、密码历史、忘记密码及高危密码检测等策略。
密码策略概述
IDaaS允许管理员对密码相关策略进行集中管理,包含:
密码复杂度
密码是网络安全中最薄弱环节之一。越复杂的密码安全性越高。
为了便于场景选择,在登录菜单密码策略页签中,IDaaS提供了5类预置复杂度模板,说明如下:
复杂度模板 | 模板内容 |
无限制 | 最少4位。 |
低复杂 | 最少6位,必须包含小写字母,数字。 |
常见 | 最少8位,必须包含大写字母、小写字母、数字。 |
推荐 | 最少10位,必须包含大写字母、小写字母、数字、特殊字符。不能包含账户名。 |
高复杂 | 最少16位,必须包含大写字母、小写字母、数字、特殊字符。不能包含账户名、显示名及其拼音、手机号或邮箱前缀。 |
您可选择其中一个模板,在此基础上调整配置,或直接自定义配置,保存后即可生效。
变更复杂度后,既有密码不受影响,新密码需遵守复杂度限制。
根据中国电信集团公司的最新要求,2025年5月20日起发送至中国电信手机号码的短信若包含以下相关内容,将存在较大概率被拦截导致短信发送失败:
短信内容中包含链接、IP地址。
短信内容中包含联系方式,如手机号、固话、其他客服电话等。
鉴于此管控政策,密码字段禁止包含链接(包含短链、http字符串)及联系方式等字段,以确保包含用户名和密码短信能够正常送达。
初始密码
从IdP(身份提供方)中导入账户时,通常无法获取到IdP中的用户密码。IDaaS中支持对新导入的账户进行密码初始化,并通知用户完成新用户登录操作。
密码初始化功能:默认关闭,管理员可以开启。
密码生成方式:当账户从IdP中同步到IDaaS时,若无密码,则可选择“随机生成,通知用户”的方式,符合复杂度要求的随机生成的新密码将通过勾选的短信或邮件通知到用户。
首次登录改密:可勾选首次登录改密,让用户在使用随机生成的密码登录时,必须修改密码,才能访问系统,完成密码的自主更新。
定期改密
管理员可以设定密码过期的周期和处理策略。
过期提醒
管理员可通过开启过期提醒,提前N天在用户登录时进行改密提醒。用户看到即可在当次改密,也可以当次跳过。
密码过期效果
IDaaS 提供了禁止登录、强制修改密码、提醒修改密码三个过期处理方式。
禁止登录:最严格的处理方式。过期即代表密码无法使用,无法触发改密流程。只能通过其他方式登录后改密或走找回密码流程。由于过期后用户可能锁死在外,为了减轻IT人员的工作负担,建议配合过期提醒使用,或设置提前N天开始强制改密。
强制修改密码:折中的处理方式。过期密码可用于登录,但登录时必须强制改密后才能访问门户或应用。
提醒修改密码:最宽松的处理方式。每次使用过期密码登录,均会进行改密提醒,但用户每次均可跳过。
密码过期只对用户登录产生影响,不会对账户本身的状态产生影响。
密码历史
IDaaS允许管理员开启密码历史检查,在用户修改密码时,将禁止用户重复使用近N次已使用过的密码,以防止密码重复使用带来的安全风险。
忘记密码
如果登录时忘记密码,用户可通过IDaaS的自助服务完成新密码设定。
功能默认状态:未启用。
开启方式:在管理员侧,通过页签,可勾选开启忘记密码功能。开启后,使用密码登录的页面下方会出现忘记密码。
找回流程:单击忘记密码,即可通过短信、邮箱验证、OTP 动态口令验证或WebAuthn 验证的方式进行身份认证,设定符合规则的新密码。
说明若您的账户未设置手机号、邮箱,且未绑定OTP动态口令或WebAuthn,将无法自助找回密码。请联系管理员进行密码重置。
高危密码检测
IDaaS维护了一套已公开泄露的密码库。在用户修改密码时,会触发对新密码的安全检查,并在页面上进行提示。这一功能默认开启,无法关闭,所以不在管理界面中可见。密码监测的提示效果如下。
若提示您输入的新密码有泄露记录,意味着该密码可能会被恶意用于进攻,我们强烈建议您重新设置新密码。