建议官方提供更多的密码安全策略配置

登录

1、密码长度位数可以自定义输入和密码所需字符可勾选配置
2、用户重置或修改密码时增加密码校验，不允许输入历史多少次的密码，例如不允许用户输入最近5次输入过的密码
3、增加可以配置多长时间后，如用户没有修改密码，则锁定用户功能，并在接近锁定时间内（也可配置）提示用户更改密码
以上问题是我们一个客户在对系统CSV验证时提出的需求，希望官方能在后续版本中考虑增加上，谢谢

experdot · experdot

第三点实际上是一种不安全的设计，新一点的安全规范都会特别强调不要让用户定期修改密码。而正是因为有了第三点，才会有第二点要求。所以第二第三点都不是很有必要。

Patrick.Zhu · Patrick.Zhu

感谢大佬的支持。
是的对于第二个问题，现在最新的研究中，表示这种策略已经不是一种好的策略了，更现代的做法是两步认证，所以我们搁置了之前相关的计划。
而对于一个问题，大家密码的要求太多变了，现有的密码策略已经满足了多数用户的需要，自定义的配置还会增加系统的复杂度，暂时不做考虑了。

		自动登录	找回密码
密码			立即注册

[暂不采纳] 建议官方提供更多的密码安全策略配置

本帖子中包含更多资源

2 个回复

本帖子中包含更多资源

活字格认证