ข้ามไปยังเนื้อหาหลัก

นโยบายรหัสผ่าน

Logto ใช้นโยบายรหัสผ่านในรูปแบบที่แตกต่างกัน ขึ้นอยู่กับวิธีที่รหัสผ่านถูกสร้างหรืออัปเดต:

ตั้งค่านโยบายรหัสผ่าน

สำหรับผู้ใช้ใหม่หรือผู้ใช้ที่กำลังอัปเดตรหัสผ่าน คุณสามารถตั้งนโยบายรหัสผ่านเพื่อบังคับใช้ข้อกำหนดความแข็งแรงของรหัสผ่านได้ ไปที่ Console > ความปลอดภัย > นโยบายรหัสผ่าน เพื่อกำหนดค่านโยบายรหัสผ่าน

  1. ความยาวขั้นต่ำของรหัสผ่าน: กำหนดจำนวนอักขระขั้นต่ำที่ต้องใช้ในรหัสผ่าน (NIST แนะนำให้ใช้อย่างน้อย 8 อักขระ)
  2. ประเภทอักขระขั้นต่ำที่ต้องมี: กำหนดจำนวนประเภทอักขระขั้นต่ำที่ต้องมีในรหัสผ่าน ประเภทอักขระที่มีให้เลือก ได้แก่:
    1. ตัวอักษรตัวพิมพ์ใหญ่: (A-Z)
    2. ตัวอักษรตัวพิมพ์เล็ก: (a-z)
    3. ตัวเลข: (0-9)
    4. อักขระพิเศษ: (!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
  3. ตรวจสอบประวัติการรั่วไหล: เปิดใช้งานเพื่อตรวจสอบและปฏิเสธรหัสผ่านที่เคยรั่วไหลในเหตุการณ์ข้อมูลรั่วไหลมาก่อน (ขับเคลื่อนโดย Have I Been Pwned)
  4. ตรวจสอบการซ้ำซ้อน: เปิดใช้งานเพื่อตรวจสอบและปฏิเสธรหัสผ่านที่มีอักขระซ้ำกัน (เช่น "11111111" หรือ "password123")
  5. ตรวจสอบข้อมูลผู้ใช้: เปิดใช้งานเพื่อตรวจสอบและปฏิเสธรหัสผ่านที่มีข้อมูลผู้ใช้ เช่น ชื่อผู้ใช้ อีเมล หรือเบอร์โทรศัพท์
  6. คำที่กำหนดเอง: ระบุรายการคำที่คุณต้องการปฏิเสธในรหัสผ่าน (ไม่สนใจตัวพิมพ์ใหญ่-เล็ก)

การตรวจสอบความสอดคล้องของรหัสผ่าน

หลังจากที่คุณอัปเดตนโยบายรหัสผ่านใน Logto ผู้ใช้ที่มีอยู่ยังคงสามารถลงชื่อเข้าใช้ด้วยรหัสผ่านเดิมได้ จะมีเพียงบัญชีที่สร้างใหม่เท่านั้นที่ต้องปฏิบัติตามนโยบายที่อัปเดต

เพื่อเสริมความปลอดภัยที่เข้มงวดยิ่งขึ้น คุณสามารถใช้ POST /api/sign-in-exp/default/check-password API เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้ตรงตามนโยบายปัจจุบันที่กำหนดไว้ในประสบการณ์การลงชื่อเข้าใช้หรือไม่ หากไม่ตรง คุณสามารถแจ้งให้ผู้ใช้อัปเดตรหัสผ่านผ่านกระบวนการที่คุณกำหนดเองโดยใช้ Account API

จัดการผู้ใช้ ลงทะเบียนและลงชื่อเข้าใช้ ตั้งค่าบัญชีด้วย Account API ออกแบบนโยบายรหัสผ่านของคุณ