密码策略
设置密码策略
对于新用户或正在更新密码的用户,你可以设置密码策略以强制执行密码强度要求。请访问 控制台 > 安全 > 密码策略 来配置密码策略设置。
- 最小密码长度:设置密码所需的最小字符数。(NIST 建议至少使用 8 个 字符)
- 最少所需字符类型数:设置密码所需的最少字符类型数。可用的字符类型包括:
- 大写字母:
(A-Z)
- 小写字母:
(a-z)
- 数字:
(0-9)
- 特殊字符:
(!"#$%&'()*+,-./:;<>=?@[]^\_`|{}~ )
- 大写字母:
- 泄露历史检查:启用此设置后,将拒绝在数据泄露中已暴露过的密码。(由 Have I Been Pwned 提供支持)
- 重复字符检查:启用此设置后,将拒绝包含重复字符的密码。(例如,“11111111”或“password123”)
- 用户信息检查:启用此设置后,将拒绝包含用户名、电子邮件地址或电话号码等用户信息的密码。
- 自定义词汇:提供一个自定义词汇列表(不区分大小写),这些词汇将被拒绝用于密码中。
密码合规性检查
在你更新 Logto 中的密码策略后,现有用户仍然可以使用当前密码登录。只有新创建的账户才需要遵循更新后的策略。
为了加强安全性,你可以使用 POST /api/sign-in-exp/default/check-password
API 检查用户的密码是否符合默认登录体验中定义的当前策略。如果不符合,你可以通过自定义流程,使用 Account API 提示用户更新密码。