นโยบายรหัสผ่าน

ตั้งค่านโยบายรหัสผ่าน

สำหรับผู้ใช้ใหม่หรือผู้ใช้ที่กำลังอัปเดตรหัสผ่าน คุณสามารถตั้งค่านโยบายรหัสผ่านเพื่อบังคับใช้ข้อกำหนดความแข็งแรงของรหัสผ่านได้ เยี่ยมชม Console > ความปลอดภัย > นโยบายรหัสผ่าน เพื่อกำหนดค่านโยบายรหัสผ่าน

1. ความยาวรหัสผ่านขั้นต่ำ: กำหนดจำนวนอักขระขั้นต่ำที่ต้องใช้สำหรับรหัสผ่าน (NIST แนะนำให้ใช้อย่างน้อย 8 อักขระ)
2. ประเภทอักขระขั้นต่ำที่ต้องมี: กำหนดจำนวนประเภทอักขระขั้นต่ำที่ต้องมีในรหัสผ่าน ประเภทอักขระที่รองรับ ได้แก่:
   1. ตัวอักษรตัวใหญ่: (A-Z)
   2. ตัวอักษรตัวเล็ก: (a-z)
   3. ตัวเลข: (0-9)
   4. อักขระพิเศษ: (!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
3. ตรวจสอบประวัติการรั่วไหล: เปิดใช้งานการตั้งค่านี้เพื่อปฏิเสธรหัสผ่านที่เคยถูกเปิดเผยในการรั่วไหลของข้อมูลมาก่อน (ขับเคลื่อนโดย Have I Been Pwned)
4. ตรวจสอบการซ้ำซ้อน: เปิดใช้งานการตั้งค่านี้เพื่อปฏิเสธรหัสผ่านที่มีอักขระซ้ำกัน (เช่น "11111111" หรือ "password123")
5. ตรวจสอบข้อมูลผู้ใช้: เปิดใช้งานการตั้งค่านี้เพื่อปฏิเสธรหัสผ่านที่มีข้อมูลของผู้ใช้ เช่น ชื่อผู้ใช้ อีเมล หรือหมายเลขโทรศัพท์
6. คำที่กำหนดเอง: ระบุรายการคำที่คุณต้องการปฏิเสธในรหัสผ่าน (ไม่สนใจตัวพิมพ์เล็ก / ใหญ่)

การตรวจสอบความสอดคล้องของรหัสผ่าน

หลังจากที่คุณอัปเดตนโยบายรหัสผ่านใน Logto ผู้ใช้เดิมยังคงสามารถลงชื่อเข้าใช้ด้วยรหัสผ่านปัจจุบันได้ จะมีเพียงบัญชีที่สร้างใหม่เท่านั้นที่ต้องปฏิบัติตามนโยบายที่อัปเดต

เพื่อบังคับใช้ความปลอดภัยที่เข้มงวดยิ่งขึ้น คุณสามารถใช้ POST /api/sign-in-exp/default/check-password API เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้ตรงตามนโยบายปัจจุบันที่กำหนดไว้ในประสบการณ์การลงชื่อเข้าใช้เริ่มต้นหรือไม่ หากไม่ตรง คุณสามารถแจ้งให้ผู้ใช้อัปเดตรหัสผ่านผ่าน flow ที่คุณกำหนดเองโดยใช้ Account API

แหล่งข้อมูลที่เกี่ยวข้อง

ออกแบบนโยบายรหัสผ่านของคุณ