Skip to main content

密码策略

大多数机构使用身份提供程序(如 Azure Active Directory)对用户进行管理和验证。此类配置允许您在 Blackboard 中创建用户,他们可以在其中设置自己的密码。您可以为这些密码设置长度和复杂性要求。使用默认验证提供程序时,它将改善 Blackboard 环境的安全状况。

用户更改其密码时的密码策略和日志记录

您可以将密码长度规则设置为 8 到 32 个字符。默认为 12 个字符。您可以单独设置大写和小写字母、数字和特殊字符的使用规则。

验证日志会捕获密码更改事件。这仅适用于 Blackboard 密码更改,不适用于身份提供程序中的密码更改。有三种事件类型:

  • 用户更改了他们自己的密码。

  • 管理员或其他特权用户更改了其他用户的密码。事件详细信息将显示是谁更改了密码。

  • 用户使用 Blackboard 中的忘记密码功能重置其密码。

用户在原始体验中更改其密码:

用户在原始体验中更改其密码

当基本导航控件处于活动状态时,用户更改其密码:

启用基本导航时,用户更改其密码

当用户在 我的 Blackboard 中看到密码重置选项时,请查看配置。这些设置将显示在新的密码设置页面的管理员面板中。

只有具有完全权限的系统管理员才能访问配置页面。默认设置强制至少使用一个数字和一个特殊字符,最小长度设置为 12。

配置系统角色,使用户在使用身份提供程序(例如单点登录)时看不到 Blackboard 的密码重置选项。

重要

  • 当用户更改自己的密码时,将应用强化密码策略。这包括使用密码重置工具。

  • 当支持用户更改其他用户的密码时,不会强制执行密码策略。

  • 使用学生信息系统框架、构建基块或 REST API 更改密码时,不会强制实施密码策略

密码长度和复杂性策略的配置:

管理员配置密码长度和复杂性策略

身份验证日志包括密码更改事件:

身份验证日志包括密码更改事件

密码期限、重用和到期

当使用身份提供程序(如 Azure Active Directory)对用户进行管理和验证时,用户可以设置自己的密码。为了支持密码的安全要求,您的系统可以要求您的用户:

  • 在上次更改密码后经过一定天数后更改密码。过期后,用户可以使用旧密码登录,但系统会要求他们立即更改密码,然后才能继续。

    密码过期后,系统会提示用户创建新密码

  • 在密码更改之间等待一段时间。当用户尝试在密码的最短期限到期之前更改密码时,系统会通知他们无法更改密码。我们建议引导他们联系他们的帮助台。

    当由于密码违反最低年龄策略而无法更改密码时,系统会通知用户

  • 防止用户重复使用以前的密码。

    用户被告知以前的密码不得重复使用

如有必要,您可以要求用户更改其密码以满足密码策略更新,而不是等待自动过期:

管理员配置密码期限和历史记录策略

  • “密码过期”选项将出现在“管理员面板”的“用户页面中。

  • 一次选择一个或多个用户。默认情况下,具有完全权限的系统管理员可以使用此新功能。如果需要,您可以将此权限授予其他角色:管理员面板(用户)>用户>编辑>过期密码

  • 如果您选择使用户的密码过期,并且最低密码期限政策处于“打开”状态,则您的用户无需等待即可更改其密码。

管理员使用户的密码过期

重要

作为一项安全措施,密码将不再存储在存档压缩包中。

下载存档压缩包:

管理员下载存档包

密码长度和复杂性规则

为其他用户更改密码时,请确保符合密码长度和复杂性规则。

您可以确定密码的使用期限和重复使用策略。这些设置显示在密码设置页面的管理员面板中。只有具有完全权限的系统管理员才能访问配置页面。默认设置会强制执行以下策略:

  • 密码期限策略: 默认情况下,此选项处于关闭状态。以下规则可以独立启用:

    • 最短期限默认值为 24 小时。定义一个介于 1 到 720 小时之间的值。

      新用户无需等待这段时间即可首次更改密码。

    • 最长期限默认值为 90 天。定义一个介于 29 到 360 天之间的值。

  • 密码历史记录策略: 默认情况下,此选项处于关闭状态。如果已启用,您可以指定系统需要检查的最近使用的密码数。

    • 默认值为 10。定义一个介于 1 到 24 之间的值。

限制

个人信息的使用

在 Blackboard 中创建的用户帐户可能允许用户设置自己的密码。为了加强安全性,在用户密码中使用个人信息会受到限制。

个人信息包括:名字、中间名、姓氏、用户名和学生证等字段。您的用户无法在其创建密码时合并此信息。如果用户尝试使用个人资料信息作为密码的一部分,则系统会通知用户。

用户在更改密码时被告知不使用配置文件信息

重要

为其他用户设置密码时,您也应避免使用个人信息。

使用数据泄露事件中暴露的密码

您的机构还可以限制在数据泄露事件中暴露的密码。这是一项重要的安全措施,因为密码(如“123456”、“qwerty”“password123”)通常是黑客的目标。

当您的某个用户尝试在 LMS 中更改其密码时,Blackboard 会根据泄露密码的全局数据库进行检查。如果所选密码显示在数据库中,则系统会通知用户,要求其选择其他密码。这可确保所有用户使用强大而安全的密码,并最大限度减少对帐户未经授权的访问。

用户被告知,他们建议的密码在安全漏洞中暴露

若要打开公开的密码保护策略,请为禁止使用公开的密码选择已启用

管理员配置公开的密码保护策略

重要

对于多数机构,默认情况下此功能处于关闭状态。您必须手动将其打开,才能启用。

重要

对于 FedRAMP 边界中的美国政府客户端,该功能默认处于打开状态。如果您的合规边界发生更改,您应确认您的配置。