跳到主要内容

密码策略

设置密码策略

对于新用户或正在更新密码的用户,你可以设置密码策略以强制执行密码强度要求。请访问 控制台 > 安全 > 密码策略 来配置密码策略设置。

  1. 最小密码长度:设置密码所需的最小字符数。(NIST 建议至少使用 8 个 字符
  2. 最少所需字符类型数:设置密码所需的最少字符类型数。可用的字符类型包括:
    1. 大写字母:(A-Z)
    2. 小写字母:(a-z)
    3. 数字:(0-9)
    4. 特殊字符:(!"#$%&'()*+,-./:;<>=?@[]^\_`|{}~ )
  3. 泄露历史检查:启用此设置后,将拒绝在数据泄露中已暴露过的密码。(由 Have I Been Pwned 提供支持)
  4. 重复字符检查:启用此设置后,将拒绝包含重复字符的密码。(例如,“11111111”或“password123”)
  5. 用户信息检查:启用此设置后,将拒绝包含用户名、电子邮件地址或电话号码等用户信息的密码。
  6. 自定义词汇:提供一个自定义词汇列表(不区分大小写),这些词汇将被拒绝用于密码中。

密码合规性检查

在你更新 Logto 中的密码策略后,现有用户仍然可以使用当前密码登录。只有新创建的账户才需要遵循更新后的策略。

为了加强安全性,你可以使用 POST /api/sign-in-exp/default/check-password API 检查用户的密码是否符合默认登录体验中定义的当前策略。如果不符合,你可以通过自定义流程,使用 Account API 提示用户更新密码。

设计你的密码策略