概要: 强度弱的密码很容易被`暴力攻击<https://en.wikipedia.org/wiki/Brute-force_attack>`__ 破坏。使用强度弱的密码,威胁实施者在一定程度上可以访问服务器,那么他们就能够破坏托管网站、发送垃圾邮件、窃取信息等等。

您可以配置服务器范围的密码强度策略,该策略将为服务器上所有新创建的密码强制执行最低密码强度。高强度的密码能够降低暴力攻击的可行性甚至消除可能性。

密码强度是衡量密码抵抗猜测或暴力攻击的一种方法。这取决于许多因素,例如:

  • 密码长度
  • 密码是否同时包含小写字母和大写字母。
  • 密码中包含的各种字符的数量(数字、特殊字符等)。
  • 密码是否包含一个或多个字词。

如果用户设置了强度弱的密码(方便记忆),这样的密码可能会使服务器更容易受到攻击。例如:

  • 如果邮箱密码被泄露,攻击者可以使用该邮箱发送垃圾邮件,这可能会导致您的服务器 IP地址被列入DNS黑名单。
  • 如果系统用户密码被泄露,攻击者可以在客户的网站中插入恶意代码。

所有这些都可能导致财务和声誉的损失,以及数据的丢失。

若要防止用户设置强度弱的密码,您可以配置服务器范围内的密码强度策略。该策略适用于用户可以在Plesk中设置的许多(但不是全部)密码。当Plesk用户设置或更改密码时,他们都需要调整密码,直到其满足当前有效的密码强度策略的要求为止。

你可以从五个密码强度级别中进行选择,从“非常弱”到“非常强”。该政策越严格,用户的密码容易受到暴力攻击的可能性就越小。

Plesk生成高强度密码并评估密码强度的方式与流行的第三方密码生成器的方式非常匹配。这样,您可以确保Plesk生成强度高的密码,例如,1Password,将被Plesk做如此处理。了解Plesk如何计算密码强度

默认情况下,密码强度策略设置为“强”。例如,如果您使用第三方密码生成器,其生成的密码Plesk验证不够强,您可能希望应用较弱的策略。

注解: 更改最小密码强度对已经设置的密码没有影响。该更改只会影响在更改了最小密码强度后设置的密码。

密码强度策略会被应用到下面的密码中:

  • 用于登录 Plesk 的密码。
  • 订阅系统用户的密码。
  • 数据库用户的密码。
  • 邮箱密码。

密码强度策略不会被应用到下面的密码中:

  • 用于在Plesk中托管的应用程序的密码(例如,WordPress、Joomla!等等)。
  • 用于由 Plesk 管理的服务的密码(Git、Docker)。
  • 备份加密密码
  • 远程备份存储密码。

若要更改密码强度策略,请如下操作:

  1. 转入 工具与设置 > 安全策略 (在 “安全” 下),然后向下滚动到 “密码强度” 部分。
  2. 在 “最小密码强度” 下,勾选所需密码强度策略相应的按钮。
  3. 点击 确定

新密码策略现在生效,每次设置或更改策略的密码时应用。

image 75011