Как настроить требования к паролям пользователей и контролировать их соблюдение

Эта страница предназначена для администраторов, управляющих аккаунтами других пользователей в организации. Чтобы сбросить пароль своего аккаунта, перейдите по этой ссылке.

Как администратор, вы можете настроить требования к паролям, чтобы защитить управляемые аккаунты Google и обеспечить соблюдение стандартов организации. Вы также можете контролировать надежность паролей и проверять, отвечают ли они требованиям безопасности.

Важно! Если у вас устаревший профиль SSO и он включен для организации, обратите внимание, что правила в отношении паролей для ваших пользователей действовать не будут. Чтобы обеспечить соблюдение правил в отношении паролей и соответствие пользователей определенным требованиям безопасности, вам необходимо отключить устаревший профиль SSO и перейти на профили SSO. Подробную информацию можно найти в статье Как перейти с устаревшего профиля SSO на профили SSO.

Как защитить аккаунты пользователей

  • Задайте в организации требования к надежности паролей. Вы можете настроить принудительную смену паролей, которые не соответствуют требованиям безопасности, а также установить требования к длине паролей.
  • Запретите повторно использовать старые пароли.
  • Объясните пользователям, как важно, чтобы пароли были надежными, и предоставьте им рекомендации по выбору таких паролей.

Подготовка

Когда правила в отношении паролей не применяются

  • Google не может принудительно применять требования к надежности и длине паролей, заданных с помощью метода хеширования, – например, паролей созданных с помощью инструмента массовой загрузки пользователей, Directory API или инструментов синхронизации, таких как Password Sync или Google Cloud Directory Sync. Дополнительную информацию можно найти на странице Google Workspace Admin SDK и в статье о функции Password Sync.
  • Требования к надежности и длине паролей не применяются к паролям, сброшенным вручную. В таких случаях для пользователя необходимо установить флажок Попросить пользователя сменить пароль при первом входе в систему.
  • Настроенные вами правила в отношении паролей не применяются к пользователям, которые проходят аутентификацию через стороннего поставщика идентификационной информации с использованием SAML или OIDC.

Характеристики надежного пароля

Если вы включите обязательное использование надежных паролей, Google будет оценивать степень надежности каждого пароля:

  • У пароля должен быть высокий уровень случайности, которая называется энтропией пароля. Чтобы обеспечить его, можно использовать длинные последовательности символов разных типов, например заглавные буквы, строчные буквы, цифры и специальные символы.

    Примечание. Чтобы быть надежным, паролю необязательно содержать определенное количество символов определенного типа.

  • Пароль не должен быть простым и распространенным, например "123456" или "parol123".
  • Он должен быть сложным для угадывания – нельзя использовать простые слова или фразы, а также имя пользователя целиком или частично.
  • Нельзя использовать раскрытый пароль, то есть тот, который есть в базе данных взломанных аккаунтов.

Правила истечения срока действия пароля

По умолчанию эта функция отключена, так как анализ показал, что она практически не способствует улучшению безопасности. Вы можете задать срок действия паролей пользователей в днях (например, 90 или 180 дней), если это необходимо для соответствия требованиям.

Срок действия пароля устанавливается только для браузерных приложений. Он не применяется, если пользователь входит в приложения только на телефоне или по протоколу OAuth.

Оповещения об истечении срока действия пароля

Если вы настроите срок действия пароля, за 30 дней до его окончания в сервисах Google пользователя (например, в Gmail и Календаре) появятся всплывающие окна с оповещениями. Пользователь может изменить пароль или закрыть окно оповещения. Если он не изменит пароль, оповещение появится при следующем входе в аккаунт. Оповещение перестанет появляться, если пользователь закроет его три раза. Однако когда срок действия пароля истечет, пользователю придется изменить пароль при попытке входа в аккаунт.

В каких случаях пользователю необходимо сменить пароль

Когда вы в первый раз зададите срок действия паролей, некоторым пользователям будет предложено сменить пароль сразу, а другим не нужно будет делать это немедленно. Пример:

  • Если вы задали 90-дневный срок действия паролей, а пользователь в последний раз менял пароль 100 дней назад, срок действия этого пароля истечет, как только вы примените правила. Пароль нужно будет сменить при следующем входе в аккаунт.
  • Если вы задали 90-дневный срок действия паролей, а пользователь в последний раз менял пароль 30 дней назад, пароль продолжит действовать. Через 60 дней пользователю нужно будет сменить пароль при следующем входе в аккаунт.

Как настроить требования к паролям

  1. В консоли администратора Google нажмите на значок меню > Безопасность >Аутентификация >Управление паролями.

    У вас должны быть права администратора с доступом к настройкам безопасности.

  2. В левой части страницы выберите организационное подразделение, для которого нужно настроить требования к паролям.

    Выберите организационное подразделение верхнего уровня, чтобы задать правила для всех пользователей, или другую организацию, чтобы применить настройки к ее пользователям. По умолчанию организационные подразделения наследуют настройки родительской организации.

  3. В разделе Надежность установите флажок Проверять надежность пароля.

    Подробнее о надежных паролях

  4. В разделе Длина укажите минимальное и максимальное количество символов. Это может быть значение от 8 до 100.

  5. Установите флажок Применить правила в отношении паролей при следующем входе в систему, чтобы пользователи сменили пароль.

    Если этого не сделать, сотрудники с ненадежными паролями смогут работать с корпоративными сервисами Google, пока сами не решат сменить пароль.

  6. Чтобы пользователи могли использовать свои старые пароли, установите флажок Разрешить повторное использование пароля.

    Настроить количество паролей, которые запоминает Google, нельзя.

  7. В разделе Срок действия выберите период, по прошествии которого пароль перестанет действовать.

    Примечание. Если для аккаунта пользователя добавлен представитель, этот представитель сохранит доступ к аккаунту даже по истечении срока действия пароля. Чтобы не допустить этого, вы можете сбросить пароль аккаунта или удалить представителя.

  8. Нажмите Переопределить, чтобы настройка не менялась даже при изменении параметров в родительской организации.

  9. Если для организации уже установлен статус Переопределено, выберите один из следующих вариантов:

    • Наследовать – для подразделения будут действовать те же настройки, что и для родительской организации.
    • Сохранить – будет применяться новое значение параметра (даже если настройки в родительской организации изменятся).

  10. Предоставьте пользователям рекомендации по выбору пароля.

Как отслеживать надежность паролей

  1. В консоли администратора Google нажмите на значок меню > Отчеты >Отчеты о пользователях >Аккаунты.

    Вам потребуется аккаунт администратора с доступом к отчетам.

  2. Если вам нужно посмотреть информацию о надежности паролей в виде диаграммы, выберите Отчеты >Отчеты о приложениях >Аккаунты. Подробнее об отчетах об аккаунтах