MySQL8的密碼管理

歡迎來到藍隊云技術小課堂，每天分享一個技術小知識。

MySQL中記錄使用過的歷史密碼，目前包含如下密碼管理功能：

（1）密碼過期：需要定期修改密碼。

（2）密碼重用機制：不允許使用舊密碼。

（3）密碼強度評估：要求使用高強度的密碼。

MySQL密碼管理功能只針對使用基于MySQL授權插件的賬號，這些插件有mysql_native_password、sha256_password和caching_sha2_password。

1. 密碼過期策略

• 在MySQL中，數據庫管理員可以手動設置賬號密碼過期，也可以建立一個自動密碼過期的策略。

• 過期策略可以是全局的，也可以為每個賬號設置單獨的過期策略。

手動設置立馬過期

手動設置賬號密碼過期，可使用如下語句：

ALTER USER user PASSWORD EXPIRE;

示例：將用戶zhang3賬號的密碼設置為過期，SQL語句如下：

ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE;

該語句將用戶zhang3的密碼設置為過期，zhang3用戶仍然可以登錄進入數據庫，但無法進行查詢。密碼過期后，只有重新設置了新密碼，才能正常使用。

手動設置指定時間過期方式1：全局

如果密碼使用的時間大于允許的時間，服務器會自動設置為過期，不需要手動設置。

MySQL使用 default_password_lifetime 系統變量建立全局密碼過期策略。

• 它的默認值是0，表示禁用自動密碼過期。

• 它允許的值是正整數N，表示允許的密碼生存期。密碼必須每隔N天進行修改。

兩種實現方式分別如圖所示：

• 方式①：使用SQL語句更改該變量的值并持久化

SET PERSIST default_password_lifetime = 180; # 建立全局策略，設置密碼每隔180天過期

• 方式②：配置文件my.cnf中進行維護

[mysqld]
default_password_lifetime=180 #建立全局策略，設置密碼每隔180天過期

手動設置指定時間過期方式2：單獨設置

每個賬號既可延用全局密碼過期策略，也可單獨設置策略。在 CREATE USER 和 ALTER USER 語句上加入 PASSWORD EXPIRE 選項可實現單獨設置策略。下面是一些語句示例。

#設置zhang3賬號密碼每90天過期：
CREATE USER 'zhang3'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;


#設置密碼永不過期：
CREATE USER 'zhang3'@'localhost' PASSWORD EXPIRE NEVER;
ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE NEVER;


#延用全局密碼過期策略：
CREATE USER 'zhang3'@'localhost' PASSWORD EXPIRE DEFAULT;
ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE DEFAULT;

2. 密碼重用策略

MySQL限制使用已用過的密碼。重用限制策略基于密碼更改的數量和使用時間。重用策略可以是全局的，也可以為每個賬號設置單獨的策略。

• 賬號的歷史密碼包含過去該賬號所使用的密碼。MySQL基于以下規則來限制密碼重用：

• 如果賬號的密碼限制基于密碼更改的數量，那么新密碼不能從最近限制的密碼數量中選擇。例如，如果密碼更改的最小值是3，那么新密碼不能與最近3個密碼中任何一個相同。

• 如果賬號的密碼限制基于時間，那么新密碼不能從規定時間內選擇。例如，如果密碼重用周期為60天，那么新密碼不能從最近60天內使用的密碼中選擇。

• MySQL使用password_history和password_reuse_interval系統變量設置密碼重用策略。

• password_history: 規定密碼重用的數量。

• password_reuse_interval: 規定密碼重用的周期

• 這兩個值可在服務器的配置文件中進行維護，也可在運行期間使用SQL語句更改該變量的值并持久化。

手動設置密碼重用方式1：全局

• 方式①：使用SQL

SET PERSIST password_history = 6; #設置不能選擇最近使用過的6個密碼

SET PERSIST password_reuse_interval = 365; #設置不能選擇最近一年內的密碼

• 方式②：my.cnf配置文件

[mysqld]
password_history=6
password_reuse_interval=365

手動設置密碼重用方式2：單獨設置

每個賬號可以延用全局密碼重用策略，也可以單獨設置策略。這兩個選項可以單獨使用，也可以結合在一起使用。下面是一些示例。

#不能使用最近5個密碼：
CREATE USER 'zhang3'@'localhost' PASSWORD HISTORY 5;

ALTER USER 'zhang3'@'localhost' PASSWORD HISTORY 5;


#不能使用最近365天內的密碼：
CREATE USER 'zhang3'@'localhost' PASSWORD REUSE INTERVAL 365 DAY;

ALTER USER 'zhang3'@'localhost' PASSWORD REUSE INTERVAL 365 DAY;


#既不能使用最近5個密碼，也不能使用365天內的密碼
CREATE USER 'zhang3'@'localhost'
PASSWORD HISTORY 5
PASSWORD REUSE INTERVAL 365 DAY;

ALTER USER 'zhang3'@'localhost'
PASSWORD HISTORY 5
PASSWORD REUSE INTERVAL 365 DAY;

藍隊云官網上擁有完善的技術支持庫可供參考，大家可自行查閱，更多技術問題，可以直接咨詢。同時，藍隊云整理了運維必備的工具包免費分享給大家使用，需要的朋友可以直接咨詢。

更多技術知識，藍隊云期待與你一起探索。