以下是关于SAP Note 862989中密码规则改进的核心内容总结:
一、密码复杂度与存储机制升级
- 密码长度与字符集扩展
密码最大长度从8字符提升至40字符,区分大小写(Unicode系统支持特殊字符)。新增参数:
– ‘login/min_password_lowercase’:密码必须包含的小写字母数(0-40)
– ‘login/min_password_uppercase’:密码必须包含的大写字母数(0-40)
– ‘login/password_downwards_compatibility’:控制向后兼容性(0-5,默认1)
- 密码哈希算法改进
新系统采用增强型哈希算法(code version E),旧系统升级后兼容旧密码:
– 旧密码(升级前)仅检查前8字符(自动转大写),剩余字符忽略
– 新密码(升级后)全字符校验,支持Unicode格式
二、密码策略管理增强
- 密码历史记录可配置
– 通过’login/password_history_size’设置历史记录大小(1-100,默认5),防止重复使用旧密码
– 新增’login/password_change_waittime’(1-1000天),限制用户频繁修改密码绕过历史规则
- 密码有效期控制
– 初始密码:通过’login/password_max_idle_initial’限制未使用的初始密码有效期(如管理员重置密码后未登录)
– 正常密码:通过’login/password_max_idle_productive’限制未活跃密码的有效期
– 过期后仅允许SSO登录,需管理员重新激活
三、安全默认值变更
- 关键参数默认值调整
– ‘login/failed_user_auto_unlock’:0(失败锁定无限期有效,原默认1)
– ‘login/fails_to_user_lock’:5次失败尝试后锁定(原默认12)
– ‘login/min_password_lng’:最小密码长度6字符(原3)
– ‘login/ticket_expiration_time’:登录票据有效期8小时(原60小时)
四、其他改进
- 错误消息优化
登录失败时仅返回通用错误提示(如”Name or password incorrect”),仅在验证成功后显示具体锁定原因(如账户过期)
五、相关参数列表
| 参数名称 | 功能描述 | 取值范围 | 适用场景 |
| login/password_compliance_to_current_policy | 强制密码合规性检查 | 0/1(默认0) | 要求用户提前更新不合规密码 |
| login/password_charset | 密码字符集控制 | 0-2(默认1) | 兼容非Unicode系统 |
| login/min_password_diff | 新旧密码差异字符数 | 1-40(默认1) | 防止相似密码 |
实施建议:升级到NW ABAP 7.0后,应优先调整’login/password_downwards_compatibility’确保系统兼容性,同时结合企业安全策略配置密码复杂度规则(如大小写混合要求)和有效期限制。
赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验,拥有自主研发的高效 SAP License 资产优化软件产品,欢迎企业在需要时随时联系我们,以获得我们的支持服务和软件产品试用体验。
