비밀번호 정책 (Password Policy)
비밀번호 정책 설정하기
신규 사용자 또는 비밀번호를 변경하는 사용자의 경우, 비밀번호 강도 요건을 적용하기 위해 비밀번호 정책을 설정할 수 있습니다. 콘솔 > 보안 > 비밀번호 정책에서 비밀번호 정책 설정을 구성하세요.
- 최소 비밀번호 길이: 비밀번호에 필요한 최소 문자 수를 설정합니다. (NIST는 최소 8 문자를 권장합니다)
- 필수 문자 유형 최소 개수: 비밀번호에 필요한 문자 유형의 최소 개수를 설정합니다. 사용 가능한 문자 유형은 다음과 같습니다:
- 대문자:
(A-Z) - 소문자:
(a-z) - 숫자:
(0-9) - 특수 문자:
(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
- 대문자:
- 유출 이력 확인: 이 설정을 활성화하면 데이터 유출에서 이미 노출된 비밀번호를 거부합니다. (Have I Been Pwned 기반)
- 반복 문자 확인: 이 설정을 활성화하면 반복되는 문자가 포함된 비밀번호를 거부합니다. (예: "11111111" 또는 "password123")
- 사용자 정보 확인: 이 설정을 활성화하면 사용자 이름, 이메일 주소, 전화번호 등 사용자 정보가 포함된 비밀번호를 거부합니다.
- 사용자 지정 단어: 비밀번호에 포함되면 거부할 사용자 지정 단어 목록(대소문자 구분 없음)을 입력하세요.
비밀번호 정책 준수 확인
Logto에서 비밀번호 정책을 업데이트한 후에도 기존 사용자는 현재 비밀번호로 계속 로그인할 수 있습니다. 새로 생성된 계정만 업데이트된 정책을 따라야 합니다.
더 강력한 보안을 적용하려면, POST /api/sign-in-exp/default/check-password API를 사용하여 사용자의 비밀번호가 기본 로그인 경험에 정의된 현재 정책을 충족하는지 확인할 수 있습니다. 충족하지 않는 경우, Account API를 사용하여 사용자에게 비밀번호를 업데이트하도록 커스텀 플로우로 안내할 수 있습니다.