强制执行密码要求和监控用户密码是否满足要求

本页面适用于组织管理员,供其管理组织内其他用户的账号。如需重置您自己账号的密码,请改为参阅这篇文章

作为管理员,您可以强制执行密码要求,从而保护用户受管理的 Google 账号,并满足您组织的法规遵从需求。您还可以监控用户的密码强度,了解哪些用户的密码安全系数较低。

如果您使用的是单点登录…

如果您为用户启用了单点登录 (SSO),则应执行如下操作:

  1. 关闭密码强制执行设置。
  2. 确保用户账号未配置为要求用户在下次登录时更改密码。

目前存在一个已知问题:对于使用第三方身份提供方 (IdP) 和单点登录配置文件进行身份验证的用户,系统仍会强制执行密码政策。为避免此问题,请关闭密码强制执行设置。即使您的用户收到重置 Google 密码的一次性请求,也不会影响其对单点登录的使用、登录方式或单点登录密码。

帮助确保用户账号安全

  • 要求使用安全系数高的密码:您可以强制要求用户更改安全系数低的密码。此外,您还可以要求密码达到特定的字符数。
  • 禁止用户重复使用旧密码
  • 说明安全系数高的密码的重要性:请与用户分享这些密码设置建议,帮助他们创建安全系数高的密码。

开始前须知

密码政策不适用的情况

  • 对于使用哈希方法设置的密码,Google 无法强制执行密码强度和长度要求。例如,通过批量用户上传工具、Directory API 或同步工具(如 Password Sync 或 Google Cloud Directory Sync)创建的密码就属于这种情形。有关详情,请访问 Google Workspace Admin SDK 或参阅关于 Password Sync
  • 密码强度和长度要求不适用于您手动重置的任何用户密码。如果您手动重置密码,请务必为相应用户勾选让用户在登录时更改密码复选框。
  • 当用户通过第三方 IdP 使用 OIDC 进行身份验证时,您配置的密码政策就不适用。

注意:如果您使用的是 SAML IdP,系统目前会强制执行密码政策。如需了解详情,请参阅本页上文中的如果您使用的是单点登录部分。

怎样才算是安全系数高的密码

如果您强制要求使用安全系数高的密码,Google 会使用密码强度评估算法来确保密码符合以下条件:

  • 具有高度随机性(称为密码熵);实现方法:使用一长串不同类型的字符,例如大写字母、小写字母、数字和特殊字符

    注意:安全系数高的密码并不要求某类字符达到特定数量。

  • 不是常用的安全系数低的密码,例如“123456”或“password123”
  • 不易被猜到,例如简单的词语、短语,或是密码与用户名相同的模式
  • 不是已知泄露的密码,即该密码不在已泄露账号的数据库中

密码失效设置的工作原理

密码失效设置默认处于关闭状态,因为研究表明该设置对提高安全性帮助不大。如果是出于法规遵从方面的考虑,您可以将用户的密码设置为在一定天数(例如 90 或 180 天)后失效。

系统仅对基于浏览器的应用登录方式强制执行密码失效设置。如果用户仅使用手机,或使用已通过 OAuth 身份验证的应用进行登录,系统不会强制执行此设置。

密码防护警示

如果您设置了密码有效期,那么在密码失效前 30 天,用户会在 Gmail、日历等 Google 服务中收到弹出式提醒(但不会收到邮件提醒)。用户可以更改密码,也可以关闭提醒。如果用户没有更改密码,系统会在其下次登录账号时显示该提醒。用户关闭提醒 3 次后,系统将停止显示提醒。不过,密码失效后,用户必须在下次登录时更改密码。

用户何时需要更改密码

当您首次设置密码失效政策时,系统可能会提示部分用户立即更改密码,而其他用户则暂时无需更改。例如:

  • 如果您设置的失效政策将密码有效期指定为 90 天,而某位用户上次更改密码是在 100 天前,那么该用户的密码在您设置此政策后会立即失效。用户下次尝试登录账号时,系统会提示其更改密码。
  • 如果您设置的失效政策将密码有效期指定为 90 天,而某位用户上次更改密码是在 30 天前,那么该用户的密码就尚未失效。60 天后,当该用户尝试登录时,系统会提示其更改密码。

设置密码要求

开始前须知:请参阅本页上文中的如果您使用的是单点登录部分。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 身份验证 然后 密码管理

    需要拥有“安全设置”管理员权限。

  2. 在左侧,选择您要设置密码政策的组织部门。

    如要为所有用户进行设置,请选择顶级组织部门。否则,请选择其他组织部门,从而只针对该部门的用户进行设置。在初始状态下,组织部门会沿用其上级组织部门的设置。

  3. 强度部分,勾选强制使用安全系数高的密码复选框。

    详细了解安全系数高的密码

  4. 长度部分,输入用户密码的最小长度和最大长度。长度范围为 8 到 100 个字符。

  5. (可选)如要强制用户更改密码,请勾选下次登录时强制执行密码政策复选框。

    如果您不勾选此选项,密码安全系数低的用户可以继续使用现有密码访问您组织的 Google 服务,直到其更改密码为止。

  6. (可选)如要允许用户重复使用旧密码,请勾选允许重复使用密码复选框。

    您无法设置 Google 为防止密码重复使用而核查的历史记录。

  7. 到期设置部分,选择密码多久后会失效。

    注意:如果用户账号中添加了受托用户,即使账号密码失效,受托用户仍可访问该账号。若要防止其继续访问,请重置账号密码或移除受托用户

  8. 点击覆盖保留当前设置;这样即便上级组织部门的设置发生更改,当前设置也依然有效。

  9. 如果组织部门的状态已经为已覆盖,请从下列选项中选择一项:

    • 继承:恢复为与上级组织部门相同的设置
    • 保存:保存新设置(即使上级组织部门的设置发生变化)

  10. 为用户提供相关提示,以便他们创建安全系数高的密码

监控用户的密码强度

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后 用户报告 然后 账号

    需要拥有“报告”管理员权限。

  2. (可选)如要以图表形式查看密码强度信息,请依次点击报告 然后 应用报告 然后 账号。详细了解账号报告