Alibaba Cloud IDaaS (Identity as a Service) memungkinkan administrator untuk mengelola secara terpusat kebijakan terkait kata sandi guna meningkatkan keamanan akun. Dokumen ini menjelaskan fitur pengelolaan kebijakan kata sandi di IDaaS, termasuk kompleksitas kata sandi, kata sandi awal, perubahan kata sandi berkala, riwayat kata sandi, kata sandi yang terlupakan, dan deteksi kata sandi berisiko tinggi.
Ikhtisar kebijakan kata sandi
IDaaS memungkinkan administrator untuk mengelola secara terpusat kebijakan terkait kata sandi, meliputi:
Kompleksitas kata sandi
Kata sandi merupakan salah satu elemen terlemah dalam keamanan jaringan. Kata sandi yang lebih kompleks memberikan tingkat keamanan yang lebih tinggi.
Untuk mempermudah pemilihan skenario, IDaaS menyediakan lima templat kompleksitas preset di menu Logon di bawah tab Password Policies, seperti yang dijelaskan di bawah ini:
Templat kompleksitas | Isi templat |
Tidak ada batasan | Minimum 4 karakter. |
Kompleksitas rendah | Minimum 6 karakter, harus mencakup huruf kecil dan angka. |
Umum | Minimum 8 karakter, harus mencakup huruf besar, huruf kecil, dan angka. |
Disarankan | Minimum 10 karakter, harus mencakup huruf besar, huruf kecil, angka, dan karakter khusus. Kata sandi tidak boleh berisi nama akun. |
Kompleksitas tinggi | Minimum 16 karakter, harus mencakup huruf besar, huruf kecil, angka, dan karakter khusus. Kata sandi tidak boleh berisi nama akun, nama tampilan dan pinyin-nya, nomor telepon, atau awalan email. |
Anda dapat memilih salah satu dari templat tersebut, menyesuaikan konfigurasi berdasarkan itu, atau langsung menyesuaikan konfigurasi. Perubahan akan berlaku setelah Anda menyimpannya.
Saat persyaratan kompleksitas diubah, kata sandi yang sudah ada tidak terpengaruh. Kata sandi baru harus mematuhi pembatasan kompleksitas.
Menurut persyaratan terbaru dari China Telecom Group, mulai 20 Mei 2025, pesan teks yang dikirim ke nomor ponsel China Telecom yang berisi konten berikut kemungkinan besar akan diblokir, sehingga mengakibatkan gagalnya pengiriman pesan:
Pesan teks yang berisi tautan atau alamat IP.
Pesan teks yang berisi informasi kontak seperti nomor ponsel, nomor telepon rumah, atau nomor layanan pelanggan lainnya.
Akibat kebijakan kontrol ini, bidang kata sandi dilarang berisi tautan (termasuk tautan pendek, string http) dan informasi kontak untuk memastikan bahwa pesan teks yang berisi nama pengguna dan kata sandi dapat dikirim dengan normal.
Kata sandi awal
Saat mengimpor akun dari IdP (Identity Provider), biasanya tidak mungkin mendapatkan kata sandi pengguna dari IdP. IDaaS mendukung inisialisasi kata sandi untuk akun yang baru diimpor dan memberi tahu pengguna untuk menyelesaikan proses login pengguna baru.
Fitur inisialisasi kata sandi: Dinonaktifkan secara default. Administrator dapat mengaktifkannya.
Metode pembuatan kata sandi: Saat akun disinkronkan dari IdP ke IDaaS tanpa kata sandi, Anda dapat memilih "Hasilkan secara acak dan beri tahu pengguna." Kata sandi acak yang memenuhi persyaratan kompleksitas akan dikirim kepada pengguna melalui saluran notifikasi pesan teks atau email yang dipilih.
Ganti kata sandi saat login pertama: Anda dapat memilih Change Password At First Login untuk mengharuskan pengguna mengganti kata sandinya saat mereka masuk dengan kata sandi yang dihasilkan secara acak. Pengguna harus mengganti kata sandi sebelum mereka dapat mengakses sistem, menyelesaikan pembaruan kata sandi mandiri.
Perubahan kata sandi berkala
Administrator dapat menetapkan periode kedaluwarsa kata sandi dan kebijakan penanganan.
Pengingat kedaluwarsa
Administrator dapat mengaktifkan pengingat kedaluwarsa untuk mengingatkan pengguna agar mengganti kata sandi mereka N hari sebelum kedaluwarsa saat mereka masuk. Pengguna dapat segera mengganti kata sandi mereka atau melewatkannya untuk sesi tersebut.
Efek kedaluwarsa kata sandi
IDaaS menyediakan tiga metode penanganan kedaluwarsa: larang login, paksa ganti kata sandi, dan ingatkan untuk mengganti kata sandi.
Larang login: Metode penanganan paling ketat. Saat kata sandi kedaluwarsa, kata sandi tersebut tidak dapat digunakan, dan proses penggantian kata sandi tidak dapat dipicu. Pengguna hanya dapat masuk melalui metode lain untuk mengganti kata sandi mereka atau melalui proses pemulihan kata sandi. Karena pengguna mungkin terkunci setelah kedaluwarsa, untuk mengurangi beban kerja staf TI, disarankan menggunakan opsi ini dengan pengingat kedaluwarsa atau menyetelnya untuk memaksa mengganti kata sandi mulai N hari sebelum kedaluwarsa.
Paksa ganti kata sandi: Metode penanganan sedang. Kata sandi yang kedaluwarsa dapat digunakan untuk masuk, tetapi pengguna harus mengganti kata sandi mereka sebelum dapat mengakses portal atau aplikasi.
Ingatkan untuk mengganti kata sandi: Metode penanganan paling longgar. Setiap kali kata sandi yang kedaluwarsa digunakan untuk masuk, pengingat penggantian kata sandi muncul, tetapi pengguna dapat melewatinya setiap kali.
Kedaluwarsa kata sandi hanya memengaruhi login pengguna dan tidak memengaruhi status akun itu sendiri.
Riwayat kata sandi
IDaaS memungkinkan administrator untuk mengaktifkan pemeriksaan riwayat kata sandi. Saat pengguna mengganti kata sandi mereka, mereka dicegah menggunakan salah satu dari N kata sandi terakhir mereka untuk mengurangi risiko keamanan terkait penggunaan ulang kata sandi.
Kata sandi yang terlupakan
Jika pengguna lupa kata sandi mereka saat masuk, mereka dapat menyetel kata sandi baru melalui layanan mandiri IDaaS.
Status fitur default: Tidak diaktifkan.
Metode pengaktifan: Di sisi administrator, Anda dapat mengaktifkan fitur kata sandi yang terlupakan dengan memilih kotak centang di tab . Setelah diaktifkan, opsi Forgot Password muncul di bagian bawah halaman login kata sandi.
Proses pemulihan: Klik Forgot Password untuk mengotentikasi identitas Anda melalui Text Message, Email Verification, OTP Dynamic Password Verification, atau WebAuthn Verification, lalu atur kata sandi baru yang mematuhi aturan.
CatatanJika akun Anda tidak memiliki nomor telepon atau alamat email yang diatur, dan Anda belum mengikat OTP kata sandi dinamis atau WebAuthn, Anda tidak dapat memulihkan kata sandi Anda melalui layanan mandiri. Silakan hubungi administrator Anda untuk menyetel ulang kata sandi Anda.
Deteksi kata sandi berisiko tinggi
IDaaS mempertahankan database kata sandi yang bocor secara publik. Saat pengguna mengganti kata sandi mereka, pemeriksaan keamanan dipicu untuk kata sandi baru, dan prompt muncul di halaman. Fitur ini diaktifkan secara default dan tidak dapat dinonaktifkan, sehingga tidak terlihat di antarmuka manajemen. Prompt deteksi kata sandi muncul sebagai berikut.
Jika Anda menerima prompt yang menunjukkan bahwa kata sandi baru Anda memiliki catatan kebocoran, itu berarti kata sandi tersebut mungkin digunakan secara jahat untuk serangan. Kami sangat menyarankan Anda untuk menyetel kata sandi baru yang berbeda.