您可以利用密码智能功能来监控、预警或阻止被盗、常见或已知密码的使用。
关于此任务
IBM® 密码智能功能使管理员能够实施并增强精细级别的访问管理能力 IBM Verify 。 您可以使用 “默认密码智能策略 ”或 “全局自定义密码列表 ”,也可以同时使用这两者。
执法措施
- 审计
- 此选项包含一条审核日志记录。 审核日志会检查密码,以确定该密码是否在错误密码列表中。 系统不会向用户发出通知,登录过程将继续进行。
注意: 所有强制执行选项都会生成日志。
- 用消息警告用户。
- 系统会显示一条警告信息,但登录过程仍将继续。
- 阻止操作并要求用户使用更安全的密码。
- 系统将显示一条警告信息,并将用户重定向至更改密码流程。
这些设置的优先级从低到高依次为: 审核、 警告 ,然后是强制执行。 例如,如果您的自定义列表强制策略中设置了 “审核 ”选项,而“默认密码智能策略”中设置了 “警告 ”选项,且这两个列表中都包含该错误密码,则系统将使用 “警告 ”选项,而非 “审核 ”选项。注意: 如果您在用户登录流程中选择了最后一个选项 “阻止登录并将用户重定向至更改密码页面 ”, 则“创建账户”、“重置密码”和“更改密码”流程中将自动选中 “阻止操作并要求用户使用更安全的密码”选项。
过程
- 以管理员身份登录您的租户控制台。
- 选择 ”。
- 选择情报列表。
- 查看默认密码智能策略设置。
- 选择用户登录流程的执行策略。
此规定适用于已拥有密码的现有用户。
- 为“创建账户”、“重置密码”和“更改密码”流程选择执行策略。
该规定适用于新账户,以及现有用户更改或重置密码时。
- 保存所有更改。
- 添加全局自定义密码列表。
- 选择 “下载自定义密码列表 ”以下载该 Password_intelligence_list.csv 文件。
- 打开该 .csv 文件,并在文件中添加密码。
该
.csv 格式必须符合逗号分隔值
.csv 文件的通用格式和MIME类型规范。
encoder该
.csv 文件通过使用
UTF-8 字符集支持所有Unicode(UCS)字符。 文件大小上限为 20 MB。 密码长度上限为 1,000,000 个字符,且包含特殊字符(如 )
comma 的值必须用双引号括起来。
仅使用自定义列表的第一列。 该列的表头值为“密码”。
password
badpassword
"bad""pass,word2"
注意:
- 文件的第一行(1)必须包含以下列值。
password
- 列值和列名之间用逗号分隔。
{[(.. , .. )]}
自定义拒绝列表仅使用第一列。 无需用逗号分隔。
- 后续行(2 → …) 包含该列的值。
- 每行以 CRLF 字符序列结尾。
- 如果值中包含双引号、回车符、换行符或逗号,请将每个值用双引号括起来。
在此情况下,如果值中包含以下任何特殊字符,则整个值必须用双引号包围。
""任何嵌入的双引号 " 都必须加倍。
- 所有空格都起作用。
注: 当存在多个以逗号分隔的列时,此规则的适用性更高。
注意: 用于导入用户和群组的 Cloud Directory REST API 采用 public格式,该 API 使用 .csv 文件来导入用户和群组的值。
- 保存并上传该文件。
该文件的内容已上传至该 Password_Intelligence_List.csv 文件中。
- 创建自定义情报策略
- 选择 “创建策略 ”,并配置常规设置。
- 如果要使用默认密码策略,请选中 “启用密码强制策略 ”。
如果启用了默认密码智能策略,请为用户登录流程以及创建账户、重置密码和更改密码流程选择相应的强制执行规则。
- 如果您想使用自定义密码列表,请选中 “启用自定义密码列表 ”。
如果启用了全局自定义密码列表,请为用户登录流程以及创建账户、重置密码和更改密码流程选择相应的强制规则。
- 选择 “保存”。
后续操作
如果您的身份提供商支持密码智能策略,您可以在身份提供商配置的“智能策略”部分中选择该策略。