阿里雲IDaaS(應用身份服務)允許管理員對密碼相關策略進行集中管理,以提升賬戶安全性。本文檔詳細介紹了IDaaS中的密碼原則管理功能,包括密碼複雜度、初始密碼、定期改密、密碼歷史、忘記密碼及高危密碼檢測等策略。
密碼原則概述
IDaaS允許管理員對密碼相關策略進行集中管理,包含:
密碼複雜度
密碼是網路安全中最薄弱環節之一。越複雜的密碼安全性越高。
為了便於情境選擇,在登入菜單密碼原則頁簽中,IDaaS提供了5類預置複雜度模板,說明如下:
複雜度模板 | 模板內容 |
無限制 | 最少4位。 |
低複雜 | 最少6位,必須包含小寫字母,數字。 |
常見 | 最少8位,必須包含大寫字母、小寫字母、數字。 |
推薦 | 最少10位,必須包含大寫字母、小寫字母、數字、特殊字元。不能包含賬戶名。 |
高複雜 | 最少16位,必須包含大寫字母、小寫字母、數字、特殊字元。不能包含賬戶名、顯示名稱及其拼音、手機號或郵箱首碼。 |
您可選擇其中一個模板,在此基礎上調整配置,或直接自訂配置,儲存後即可生效。
變更複雜度後,既有密碼不受影響,新密碼需遵守複雜度限制。
根據中國電信集團公司的最新要求,2025年5月20日起發送至中國電信手機號碼的簡訊若包含以下相關內容,將存在較大機率被攔截導致簡訊發送失敗:
簡訊內容中包含連結、IP地址。
簡訊內容中包含連絡方式,如手機號、固話、其他客服電話等。
鑒於此管控政策,密碼欄位禁止包含連結(包含短鏈、http字串)及連絡方式等欄位,以確保包含使用者名稱和密碼簡訊能夠正常送達。
初始密碼
從IdP(身份提供方)中匯入賬戶時,通常無法擷取到IdP中的使用者密碼。IDaaS中支援對新匯入的賬戶進行密碼初始化,並通知使用者完成新使用者登入操作。
密碼初始化功能:預設關閉,管理員可以開啟。
密碼產生方式:當賬戶從IdP中同步到IDaaS時,若無密碼,則可選擇“隨機產生,通知使用者”的方式,符合複雜度要求的隨機產生的新密碼將通過勾選的簡訊或郵件通知到使用者。
首次登入改密:可勾選首次登入改密,讓使用者在使用隨機產生的密碼登入時,必須修改密碼,才能訪問系統,完成密碼的自主更新。
定期改密
管理員可以設定密碼到期的周期和處理策略。
到期提醒
管理員可通過開啟到期提醒,提前N天在使用者登入時進行改密提醒。使用者看到即可在當次改密,也可以當次跳過。
密碼到期效果
IDaaS 提供了禁止登入、強制修改密碼、提醒修改密碼三個到期處理方式。
禁止登入:最嚴格的處理方式。到期即代表密碼無法使用,無法觸發改密流程。只能通過其他方式登入後改密或走找回密碼流程。由於到期後使用者可能鎖死在外,為了減輕IT人員的工作負擔,建議配合到期提醒使用,或設定提前N天開始強制改密。
強制修改密碼:折中的處理方式。到期密碼可用於登入,但登入時必須強制改密後才能訪問門戶或應用。
提醒修改密碼:最寬鬆的處理方式。每次使用到期密碼登入,均會進行改密提醒,但使用者每次均可跳過。
密碼到期只對使用者登入產生影響,不會對賬戶本身的狀態產生影響。
密碼歷史
IDaaS允許管理員開啟密碼歷史檢查,在使用者修改密碼時,將禁止使用者重複使用近N次已使用過的密碼,以防止密碼重複使用帶來的安全風險。
忘記密碼
如果登入時忘記密碼,使用者可通過IDaaS的自助服務完成新密碼設定。
功能預設狀態:未啟用。
開啟方式:在管理員側,通過頁簽,可勾選開啟忘記密碼功能。開啟後,使用密碼登入的頁面下方會出現忘記密碼。
找迴流程:單擊忘記密碼,即可通過簡訊、郵箱驗證、OTP 動態口令驗證或WebAuthn 驗證的方式進行身份認證,設定符合規則的新密碼。
說明若您的賬戶未設定手機號、郵箱,且未綁定OTP動態口令或WebAuthn,將無法自助找回密碼。請聯絡管理員進行密碼重設。
高危密碼檢測
IDaaS維護了一套已公開泄露的密碼庫。在使用者修改密碼時,會觸發對新密碼的安全檢查,並在頁面上進行提示。這一功能預設開啟,無法關閉,所以不在管理介面中可見。密碼監測的提示效果如下。
若提示您輸入的新密碼有泄露記錄,意味著該密碼可能會被惡意用於進攻,我們強烈建議您重新設定新密碼。