密碼政策 (Password Policy)

設定密碼政策

針對新使用者或更新密碼的使用者，你可以設定密碼政策來強制密碼強度要求。請前往 控制台 > 安全性 > 密碼政策 (Password policy) 進行密碼政策設定。

1. 最小密碼長度：設定密碼所需的最少字元數。（NIST 建議至少使用 8 個 字元）
2. 最少所需字元類型數：設定密碼必須包含的最少字元類型數。可用的字元類型有：
   1. 大寫字母：(A-Z)
   2. 小寫字母：(a-z)
   3. 數字：(0-9)
   4. 特殊字元：(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
3. 資料外洩歷史檢查：啟用此設定可拒絕曾在資料外洩事件中曝光過的密碼。（由 Have I Been Pwned 提供支援）
4. 重複字元檢查：啟用此設定可拒絕包含重複字元的密碼。（例如："11111111" 或 "password123"）
5. 使用者資訊檢查：啟用此設定可拒絕包含使用者資訊（如使用者名稱、電子郵件地址或電話號碼）的密碼。
6. 自訂關鍵字：提供一組自訂關鍵字（不區分大小寫），密碼中若包含這些關鍵字將被拒絕。

密碼合規性檢查

當你在 Logto 更新密碼政策後，現有使用者仍可使用原有密碼登入。只有新建立的帳號才會被要求遵循最新政策。

若需強制更高安全性，你可以使用 POST /api/sign-in-exp/default/check-password API 來檢查使用者密碼是否符合預設登入體驗中定義的現行政策。若不符合，你可以透過自訂流程，利用 Account API 提示使用者更新密碼。

相關資源

設計你的密碼政策 (Design your password policy)