密碼政策 (Password Policy)
設定密碼政策
針對新使用者或更新密碼的使用者,你可以設定密碼政策來強制密碼強度要求。請前往 控制台 > 安全性 > 密碼政策 (Password policy) 進行密碼政策設定。
- 最小密碼長度:設定密碼所需的最少字元數。(NIST 建議至少使用 8 個 字元)
- 最少所需字元類型數:設定密碼必須包含的最少字元類型數。可用的字元類型有:
- 大寫字母:
(A-Z)
- 小寫字母:
(a-z)
- 數字:
(0-9)
- 特殊字元:
(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
- 大寫字母:
- 資料外洩歷史檢查:啟用此設定可拒絕曾在資料外洩事件中曝光過的密碼。(由 Have I Been Pwned 提供支援)
- 重複字元檢查:啟用此設定可拒絕包含重複字元的密碼。(例如:"11111111" 或 "password123")
- 使用者資訊檢查:啟用此設定可拒絕包含使用者資訊(如使用者名稱、電子郵件地址或電話號碼)的密碼。
- 自訂關鍵字:提供一組自訂關鍵字(不區分大小寫),密碼中若包含這些關鍵字將被拒絕。
密碼合規性檢查
當你在 Logto 更新密碼政策後,現有使用者仍可使用原有密碼登入。只有新建立的帳號才會被要求遵循最新政策。
若需強制更高安全性,你可以使用 POST /api/sign-in-exp/default/check-password
API 來檢查使用者密碼是否符合預設登入體驗中定義的現行政策。若不符合,你可以透過自訂流程,利用 Account API 提示使用者更新密碼。
相關資源
設計你的密碼政策 (Design your password policy)