强口令策略

在学习安全性测试的过程中，有一个环节是强口令策略，包括：

• 口令长度的取值范围为0~32个字符，口令的最短长度和最长长度均可设置，口令的最短长度建议默认为6个字符。
• 口令中至少需要包括一个大写字母（A~Z）、一个小写字母（a~z）、一个数字字符（0~9），是否必须包含特殊字符可以设置。
• 口令中允许同一个字符连续出现的最大次数可设置，取值范围为0~9.当设置为0时，表示无限制，建议默认为3.
• 口令必须设置有效期，最短有效期的取值范围为0~9999分钟，当取值为0时，表示无限制，建议默认值为5分钟；最长有效期的取值范围为0~999天，当取值为0时，表示口令永久有效，建议默认值为90天。
• 在口令到期前，当用户登陆时系统必须进行提示，提前提示的天数可设置，取值范围为1~99天，建议默认设置为7天。
• 口令到达最长有效期后，用户在进入系统前，系统需要强制更改口令，直至更改成功。
• 口令历史记录数可设置，取值范围为0~30，建议默认设置为3个。
• 管理员、操作员、最终用户修改自己的口令时，必须提供旧口令。
• 初始口令为系统提供的默认口令或者是由管理员设定时，则在用户/操作员使用初始口令成功登录后，要强制用户、操作员更改初始口令，直至更改成功。
• 口令不能以明文的形式在界面上显示。
• 口令不能以明文的形式保存，必须加密保存；口令与用户名关联加密，即加密前的数据不仅包括口令，还包括用户名。
• 只有当用户通过认证之后，才可以修改口令。
• 修改口令的账号只能从服务端的会话信息中获取，而不能由客户端指定。
• 实现弱口令词典功能。