文档

密码策略

更新时间:

IDaaS允许管理员对密码相关策略进行集中管理,包含:

  • 密码复杂度

  • 找回密码

  • 定期改密

  • 密码历史

  • 忘记密码

  • 高危密码检测

密码复杂度

密码是网络安全中最薄弱环节之一。越复杂的密码安全性越高。

image

为了便于场景选择,在登录菜单密码策略页签中,IDaaS提供了5类预置复杂度模板,说明如下:

复杂度模板

模板内容

无限制

最少4位。

低复杂

最少6位,必须包含小写字母,数字。

常见

最少8位,必须包含大写字母、小写字母、数字。

推荐

最少10位,必须包含大写字母、小写字母、数字、特殊字符。不能包含账户名。

高复杂

最少16位,必须包含大写字母、小写字母、数字、特殊字符。不能包含账户名、显示名及其拼音、手机号或邮箱前缀。

您可选择其中一个模板,在此基础上调整配置,或直接自定义配置,保存后即可生效。​

变更复杂度后,既有密码不受影响,新密码需遵守复杂度限制。

初始密码

从IdP(身份提供方)中导入账户时,通常无法获取到IdP中的用户密码。IDaaS中支持对新导入的账户进行密码初始化,并通知用户完成新用户登录操作。

image

密码初始化功能默认关闭,管理员可以开启。

当账户从IdP中同步到IDaaS时,若无密码,则可选择“随机生成,通知用户”的方式,符合复杂度要求的随机生成的新密码将通过勾选的短信或邮件通知到用户。

同时,还可勾选首次登录改密,让用户在使用随机生成的密码登录时,必须修改密码,才能访问系统,完成密码的自主更新。

定期改密

管理员可以设定密码过期的周期和处理策略。

image

过期提醒

管理员可通过开启过期提醒,提前N天在用户登录时进行改密提醒。用户看到即可在当次改密,也可以当次跳过。

image

密码过期效果

IDaaS 提供了禁止登录、强制修改密码、提醒修改密码三个过期处理方式。

  • 禁止登录:最严格的处理方式。过期即代表密码无法使用,无法触发改密流程。只能通过其他方式登录后改密或走找回密码流程。由于过期后用户可能锁死在外,为了减轻IT人员的工作负担,建议配合过期提醒使用,或设置提前N天开始强制改密。

  • 强制修改密码:折中的处理方式。过期密码可用于登录,但登录时必须强制改密后才能访问门户或应用。

  • 提醒修改密码:最宽松的处理方式。每次使用过期密码登录,均会进行改密提醒,但用户每次均可跳过。

说明

密码过期只对用户登录产生影响,不会对账户本身的状态产生影响。

密码历史

IDaaS允许管理员开启密码历史检查,在用户修改密码时,将禁止用户重复使用近N次已使用过的密码。

image

忘记密码

用户在登录时可能忘记密码,IDaaS提供用户自助服务完成新密码设定。

image

功能默认未启用。在管理员侧,通过密码策略 > 忘记密码页签,可勾选开启忘记密码开启能力。开启后,使用密码登录的页面下方会出现忘记密码

image

用户通过单击忘记密码,即可通过短信或邮箱验证的方式进行身份认证。

手机号、邮箱皆为空时,账户的密码无法找回,请联系管理员重新设置。

image

而后即可设定符合规则的新密码。

image

高危密码检测

IDaaS维护了一套已公开泄露的密码库。在用户修改密码时,会触发对新密码的安全检查,并在页面上进行提示。这一功能默认开启,无法关闭,所以不在管理界面中可见。密码监测的提示效果如下。

image

若提示您输入的新密码有泄露记录,意味着该密码可能会被恶意用于进攻,我们强烈不建议您继续使用。