作为管理员,您可以强制设定密码要求,从而保护用户的受管理 Google 账号,并满足贵组织的法规遵从需求。您还可以监控用户的密码强度,查看哪些用户的密码安全系数较低。
帮助确保用户账号安全
- 要求使用安全系数高的密码 - 若用户使用安全系数低的密码,您可以强制要求他们更改密码。此外,您还可以要求用户使用特定字符数的密码。
- 禁止用户重复使用用过的密码。
- 说明安全系数高的密码的重要性 - 请与用户分享这些密码相关提示,帮助他们创建安全系数高的密码。
须知事项
- Google 无法强制要求使用哈希方法设置的密码遵守密码强度和长度要求,例如使用批量用户上传工具、Directory API 或同步工具(例如 Password Sync 或 Google Cloud Directory Sync)创建的密码。有关详情,请访问 Google Workspace Admin SDK 或参阅关于 Password Sync。
- 密码强度和长度要求不适用于您手动重置的任何用户密码。如果您手动重置密码,请务必针对该用户勾选让用户在登录时更改密码复选框。
- 您配置的密码政策不适用于通过第三方 SAML 身份提供商进行身份验证的用户。
如果您强制要求使用安全系数高的密码,Google 会使用密码强度等级算法来确保密码符合以下条件:
- 具有高度随机性(称为密码熵),实现方法为:使用一长串不同类型的字符,例如大写字母、小写字母、数字和特殊字符
注意:安全系数高的密码无需包含特定数量的特定类型字符。
- 不是常用的安全系数低的密码,例如“123456”或“password123”
- 不是容易猜到的密码,例如简单的词语、短语和模式(其中密码与用户名相同)
- 不是已知的遭到破解的密码,即,该密码不在遭入侵的账号数据库中
默认情况下,密码到期设置处于关闭状态,因为有调查表明该设置对安全性的提高帮助不大。如果是出于法规遵从方面的考虑,您可以将用户的密码设置为在一定天数(例如 90 或 180 天)后失效。
系统仅对基于浏览器的应用登录强制执行密码失效设置。系统不会对仅使用手机或使用已通过 OAuth 身份验证的应用登录的用户强制执行此设置。
密码防护警示
如果您设置了密码失效日期,用户会从密码失效日期之前的 30 天开始,在其 Google 服务(例如 Gmail 和 Google 日历)中收到弹出式提醒(而非电子邮件提醒)。用户可以更改密码,也可以关闭提醒。如果用户没有更改密码,系统会在用户下次登录其账号时显示提醒。用户关闭提醒 3 次后,系统将停止显示提醒。不过,密码失效后,用户必须在下次登录时更改密码。
用户何时需要更改密码
您首次设置密码失效政策,系统可能会提示某些用户立即更改密码,而其他用户则无需立即更改密码。例如:
- 如果您设置的失效政策将密码有效期指定为 90 天,而某位用户上次更改密码是 100 天前,那么您设置此政策后,该用户的密码就会立即失效。用户下次尝试登录其账号时,系统会提示该用户更改密码。
- 如果您设置的失效政策将密码有效期指定为 90 天,而某位用户上次更改密码是 30 天前,那么该用户的密码就尚未失效。60 天之后,当该用户尝试登录时,系统会提示该用户更改密码。
设置密码要求
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 在左侧,选择要设置密码政策的组织部门。
如要为所有用户设置,请选择顶级组织部门。否则,请选择其他组织来为其用户进行设置。最初,单位会沿用其上级单位的设置。
- 在强度部分,勾选强制使用安全系数高的密码复选框。
详细了解安全系数高的密码。
-
在长度部分,输入用户密码的最小和最大长度。长度可以在 8 至 100 个字符之间。
- (可选)如要强制用户更改密码,请选中下次登录时强制执行密码政策复选框。
如果您不选中此选项,使用安全系数低的密码的用户仍然可以访问贵组织的 Google 服务,他们可以自行决定要不要更改密码。
- (可选)如要允许用户重复使用用过的密码,请选中允许重复使用密码复选框。
您无法通过设置 Google 查看的密码历史记录来禁止用户重复使用密码。
- 在到期设置部分,选择密码失效的期限。
注意:如果用户账号已添加受托用户,那么即使账号密码已失效,受托用户仍然可以访问账号。为防止这类用户继续访问账号,请重置账号密码或移除受托用户。
- 点击替换以保持设置不变,即使上级组织的设置发生变化也不受影响。
- 如果组织部门的状态已经为已覆盖,请从下列选项中选择一项:
- 继承:恢复为与上级组织相同的设置
- 保存:保存新设置(即使上级组织的设置发生变化也应用新设置)
- 为用户提供相关提示,以便他们创建安全系数高的密码。
