密码策略

设置密码策略

对于新用户或正在更新密码的用户，你可以设置密码策略以强制执行密码强度要求。请访问 控制台 > 安全 > 密码策略 来配置密码策略设置。

1. 最小密码长度：设置密码所需的最小字符数。（NIST 建议至少使用 8 个 字符）
2. 最少所需字符类型数：设置密码所需的最少字符类型数。可用的字符类型包括：
   1. 大写字母：(A-Z)
   2. 小写字母：(a-z)
   3. 数字：(0-9)
   4. 特殊字符：(!"#$%&'()*+,-./:;<>=?@[]^\_`|{}~ )
3. 泄露历史检查：启用此设置后，将拒绝在数据泄露中已暴露过的密码。（由 Have I Been Pwned 提供支持）
4. 重复字符检查：启用此设置后，将拒绝包含重复字符的密码。（例如，“11111111”或“password123”）
5. 用户信息检查：启用此设置后，将拒绝包含用户名、电子邮件地址或电话号码等用户信息的密码。
6. 自定义词汇：提供一个自定义词汇列表（不区分大小写），这些词汇将被拒绝用于密码中。

密码合规性检查

在你更新 Logto 中的密码策略后，现有用户仍然可以使用当前密码登录。只有新创建的账户才需要遵循更新后的策略。

为了加强安全性，你可以使用 POST /api/sign-in-exp/default/check-password API 检查用户的密码是否符合默认登录体验中定义的当前策略。如果不符合，你可以通过自定义流程，使用 Account API 提示用户更新密码。

相关资源

设计你的密码策略