用户登录管理的主要目的是 提高账户的安全性,防御密码泄露风险、防止暴力破解。结合 密码+动态验证的手段,可以大大降低黑客通过暴力破解或猜测密码等手段获取用户账户控制权的可能性。
作用
用户登录管理的作用主要体现在以下几个方面:
防御密码泄露风险:即使密码被盗,攻击者仍需突破第二层验证,大幅降低了单纯密码泄露导致的账户入侵概率。
抵御自动化攻击:机器人或暴力破解工具难以同时绕过密码和动态验证(如实时生成的动态码),有效降低系统被突破的风险。
符合安全合规要求:可满足GDPR、HIPAA等法规对敏感数据保护的要求,避免法律风险。
界面介绍
设置项说明
设置项 | 说明 | 默认值 |
|---|---|---|
启用双因素验证 (正则表达式) | 【作用】 一个高复杂度的密码可以大大增加密码的破解难度,从而保护用户的账户和信息安全。 【功能】 可以对用户密码进行校验。当前有两种模式:
【选项】 空白:表示不进行密码校验。 【注意】 常规的正则表达式的语法 | 空白 |
| 密码复杂度错误提示 | 【作用】 旨在告知用户他们提供的密码不符合系统的安全要求。 【功能】 与用户密码复杂度设置相对应,当设置密码不符合密码复杂度,则显示您输入的密码不满足复杂度要求!+【自定义错误提示】。 【选项】 空白:表示【自定义错误提示】内容为空。 | 空白 |
| 用户管理-用户登录管理 | 【作用】 这些密码通常被认为是弱密码,因为它们容易被猜测、破解或受到字典攻击的威胁。禁用密码列表的目的是通过阻止用户使用这些不安全的密码,从而提高账户的整体安全性。 【功能】 是一个包含了一系列不被允许用作密码的字符串或模式的列表。 | 设置禁止使用的弱密码 |
| 历史密码禁用(前N个) | 【作用】 是增强密码的安全性,防止用户因为懒惰或记忆方便而重复使用旧密码,进而增加账户被破解的风险。 【功能】 将用户之前使用过的密码列入禁用状态,从而防止用户在未来重新设置这些密码。 【选项】 空白:表示不限制,不禁用之前已经用过的任何密码。 | 空白 |
| 密码有效周期(天) | 【作用】 出于安全性的考虑,旨在定期强制用户更换密码,以降低密码被破解或泄露的风险。 【功能】 指某一特定密码被授权可用的一段时间长度,以天为单位。 【选项】 空白:表示长期有效。 | 空白 |
| 密码到期提前提醒(天) | 【作用】 旨在帮助用户及时更换密码,以维护账户安全。 【功能】 指用户密码即将到期前,提前多少天向用户发出密码即将过期的警告或提示。 其中,消息中心中也会有提示用户联系管理员、修改密码的信息。 | 7 |
| 忘记密码 | 【作用】 允许用户通过其他验证方式找回或重置密码,以确保账户的可访问性和安全性。 【功能】
【选项】 都不选:表示没有“忘记密码”相关入口和功能。 | 必须通过验证后才能重设密码 |
| 密码修改验证 | 【作用】 确保只有合法用户才能更改其账户密码,从而增强账户的安全性和保护用户隐私。 【功能】
【选项】 都不选:表示没有“身份验证方式”相关入口和功能。 | 正常修改密码时也需要验证码 |
| 密码验证码短信模板 | 【前提】 需要配置短信平台,详细说明:信息推送渠道-短信。 【功能】 密码验证码,短信模板的定义。 | 重设及修改密码时使用的验证码短信模板 |
| 密码验证码邮件模板 | 【前提】 需要配置邮件服务器,详细说明:公共设置-邮件设置。 【功能】 密码验证码,邮件模板的定义。 | 重设及修改密码时使用的验证码邮件模板 |
用户密码复杂度
可以对用户密码进行校验。
当前有两种模式:
- 写正则表达式
- 通过“设置”以向导方式自动生成对应的正则表达式
我们点击“设置”按钮,则会弹出“用户密码复杂度设置”对话框(如下图)。基于选择的选项,自动生成对应的正则表达式。
注意:
1)点“确定”按钮后,系统会自动把生成的正则表达式写入到属性框中。客户也可以在这个基础上,按自己的需要进行修改。
2)正则表达式的内容并不会同步到“用户密码复杂度设置”中(即,每次点击“设置”按钮都是从头开始)
禁用密码列表
是一个包含了一系列不被允许用作密码的字符串或模式的列表。
当前有两种类型:
- 字符串
- 正则表达式
我们点击“设置”按钮,则会弹出“禁用密码列表”设置对话框(如下图)。
注意:规则之间是不会互相影响。
例如:设置了“字符串”为“qwerty”,即前端的密码为“qwerty”,是不允许的,但如果前端的密码为“qwerty123”,是允许的。
例如:设置了“正则表达式”为“\d{4}”,表示匹配任意数字重复4次,即前端的密码为"as1234",是不允许的,但如果前端的密码为“as123”,是允许的。
