变更内容

为提升账号安全性，帮助您更好地满足企业安全与合规要求，阿里云RAM访问控制产品将于2026年3月10日起，分批上线弱密码检测功能。该功能将自动识别高风险弱密码，并在多个关键场景中进行提醒或拦截。

具体适用场景如下：

用户登录时

若系统检测到当前使用的密码属于弱密码，成功登录后将跳转至密码重置页面，建议您及时更换为更安全的密码。重置密码步骤可跳过，不影响本次登录。

在控制台设置或修改密码时（包括以下情况）：

• 用户登录成功后，因首次登录或密码已过期，根据账号安全设置被要求重置密码。
• 用户主动在“用户安全信息”页面修改登录密码。
• 管理员在RAM控制台创建新用户并设置登录。
• 管理员在RAM控制台为其他用户重置登录密码。

在此类场景中，若输入的密码被识别为弱密码，系统将强制拦截，需重新设置符合安全要求的密码方可完成操作。

通过OpenAPI设置密码时（调用 CreateLoginProfile、UpdateLoginProfile、ChangePassword 接口）

是否启用弱密码拦截，由管理员在RAM的【密码强度策略】中设置【API调用是否拦截风险密码】决定：

• 默认状态：否（不拦截）
• 当设置为“是”：若密码被识别为弱密码，API调用将返回失败，需要更换密码重新设置。

补充说明

• 安全机制保障：弱密码检测基于持续更新的权威弱密码库，采用加密比对技术。您的密码在服务端完成加密处理，阿里云不会获取、传输或存储任何明文密码，确保数据安全。
• 与现有密码策略共存：弱密码检测功能与现有的RAM密码强度策略同时生效。即使密码满足管理员设定的密码强度规则，只要被识别为常见弱密码，仍会触发拦截。
• 本次功能升级将通过灰度方式逐步推送，灰度期间账号将陆续启用该功能。

变更影响

为保障账号安全及业务连续性，建议您尽早检查并提升关键账号的密码强度，避免因弱密码被拦截而影响使用，尤其不建议企业使用常见弱密码作为新建用户的默认初始密码。

如果您有任何疑问或需要进一步的帮助，可随时通过工单或者服务热线与我们联系。感谢您的理解和信任。