跳至主要內容

密碼政策 (Password Policy)

設定密碼政策

針對新使用者或更新密碼的使用者,你可以設定密碼政策來強制密碼強度要求。請前往 控制台 > 安全性 > 密碼政策 (Password policy) 進行密碼政策設定。

  1. 最小密碼長度:設定密碼所需的最少字元數。(NIST 建議至少使用 8 個 字元
  2. 最少所需字元類型數:設定密碼必須包含的最少字元類型數。可用的字元類型有:
    1. 大寫字母:(A-Z)
    2. 小寫字母:(a-z)
    3. 數字:(0-9)
    4. 特殊字元:(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
  3. 資料外洩歷史檢查:啟用此設定可拒絕曾在資料外洩事件中曝光過的密碼。(由 Have I Been Pwned 提供支援)
  4. 重複字元檢查:啟用此設定可拒絕包含重複字元的密碼。(例如:"11111111" 或 "password123")
  5. 使用者資訊檢查:啟用此設定可拒絕包含使用者資訊(如使用者名稱、電子郵件地址或電話號碼)的密碼。
  6. 自訂關鍵字:提供一組自訂關鍵字(不區分大小寫),密碼中若包含這些關鍵字將被拒絕。

密碼合規性檢查

當你在 Logto 更新密碼政策後,現有使用者仍可使用原有密碼登入。只有新建立的帳號才會被要求遵循最新政策。

若需強制更高安全性,你可以使用 POST /api/sign-in-exp/default/check-password API 來檢查使用者密碼是否符合預設登入體驗中定義的現行政策。若不符合,你可以透過自訂流程,利用 Account API 提示使用者更新密碼。

設計你的密碼政策 (Design your password policy)