管理員可以設定強制密碼規定,以便為使用者的受管理 Google 帳戶添加一道安全保障,同時滿足貴機構的法規遵循需求。此外,您也可以監控使用者的密碼強度,找出密碼強度不足的使用者。
協助確保使用者帳戶安全無虞
- 要求使用高強度密碼:您可以強制要求密碼強度不足的使用者變更密碼,也可以規定密碼長度。
- 禁止使用者重複使用舊密碼。
- 說明高強度密碼的重要性:您可以與使用者分享這些密碼設定秘訣,協助他們設定高強度密碼。
事前須知
- Google 無法強制要求採用雜湊方法設定的密碼遵守密碼強度和長度規定,例如使用大量上傳使用者工具、Directory API,或是同步工具,如 Password Sync 或 Google Cloud Directory Sync 詳情請參閱「Google Workspace Admin SDK」或「關於 Password Sync」。
- 密碼強度和長度規定不適用於您手動重設的任何使用者密碼。如果您手動重設了某位使用者的密碼,請務必為該使用者勾選「要求使用者在登入時變更密碼」方塊。
- 如果使用者是經由第三方識別資訊提供者 (IdP) 使用 SAML 進行驗證,同樣不適用您設定的密碼政策。
如果您強制使用高強度密碼,Google 會使用密碼強度分級演算法確認密碼符合以下條件:
- 具有高度隨機性 (稱為「密碼熵」),為此您可以使用一長串不同類型的字元,例如大小寫字母、數字和特殊字元
注意:高強度密碼無需包含一定數量的特定類型字元。
- 不是常用的低強度密碼,例如「123456」或「password123」
- 不是容易猜中的簡單字詞或片語,或與使用者名稱的格式相同
- 不是已知的遭竊密碼,即該密碼不在遭入侵帳戶的資料庫中
研究指出密碼過期機制對於安全性的正面效益不大,因此系統將其預設為關閉。如果基於法規遵循目的必須採用這種機制,您也可以為使用者密碼設定有效期限 (例如 90 或 180 天)。
系統只會針對透過瀏覽器登入的應用程式強制執行密碼過期機制,不會對只使用手機或透過 OAuth 驗證應用程式登入的使用者強制執行這項機制。
密碼防護警示
如果您設定了密碼有效期限,使用者會在密碼到期日的 30 天前,在 Google 服務 (例如 Gmail 和日曆) 中收到彈出式快訊,而不是電子郵件提醒。這時他們可以選擇變更密碼或關閉快訊。如不變更密碼,使用者下次登入帳戶時仍會收到快訊。在關閉 3 次後,快訊將不再顯示。但在密碼過期後,使用者下次登入時就必須變更密碼。
使用者需要變更密碼的情況
您首次設定密碼有效期限政策時,系統可能會提示部分使用者立即變更密碼,其他使用者則不必立即變更密碼。例如:
- 如果您設定的政策將密碼有效期限指定為 90 天,而某位使用者上次變更密碼的時間是在「100 天前」,那麼該使用者的密碼會在政策設定完畢後立即失效。在下次嘗試登入帳戶時,系統會提示該使用者變更密碼。
- 如果您設定的政策將密碼有效期限指定為 90 天,而某位使用者上次變更密碼的時間是在「30 天前」,那麼該使用者的密碼就尚未到期。60 天後,在該使用者下次嘗試登入時,系統會提示其變更密碼。
設定密碼規定
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「驗證」
- 在左側選取您要設定密碼政策的機構單位。
如要為所有使用者套用設定,請選取頂層機構單位。如果只要為特定機構的使用者套用設定,則請選取該機構。在預設狀態下,機構會沿用上層機構的設定。
- 在「強度」部分勾選 [強制使用高強度密碼] 方塊。
進一步瞭解高強度密碼。
-
在「長度」部分輸入使用者密碼長度的上限與下限。密碼長度可介於 8 至 100 個半形字元。
- (選用) 如要強制使用者變更密碼,請勾選 [下次登入時強制執行密碼政策] 方塊。
如果不勾選這個方塊,則就算使用者的密碼強度不足,而且不打算變更密碼,他們也依然能存取貴機構的 Google 服務。
- (選用) 如要允許使用者重複使用舊密碼,請勾選 [允許重複使用密碼] 方塊。
您無法設定讓 Google 檢查密碼記錄,來防止重複使用密碼的行為。
- 在「有效期限」部分選取密碼效期。
注意:如果使用者帳戶已新增委派使用者,即使帳戶密碼已過期,委派使用者仍可存取帳戶。如果不想讓委派使用者在密碼過期後繼續存取帳戶,請重設帳戶密碼,或是直接移除委派使用者。
- 按一下「覆寫」即可持續保留設定。即使上層設定改變,這項設定仍會保持原樣。
- 如果該機構單位的狀態為 [已覆寫],請選擇下列其中一個選項:
- 沿用:還原成與上層機構相同的設定。
- 儲存:儲存您的新設定 (即使上層設定變更,仍會套用新設定)。
- 為使用者提供建立高強度密碼的秘訣。
監控使用者的密碼強度
-
-
在管理控制台中,依序點選「選單」圖示
「報告」
- 如要以圖表形式檢視密碼強度資訊,請依序前往「報告」