如何通过配置MySQL的password_reuse_interval参数来限制密码重用并防范弱密码?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1054个文字,预计阅读时间需要5分钟。
MySQL 8.0.19 开始原生支持密码重用策略,通过设置 password_reuse_interval 控制用户多长时间内不能重复使用旧密码。此功能单独生效,但必须配合 password_history(保留一定次数的旧密码)一起使用,以增强安全性。仅对启用了验证插件的用户账户有效。
常见错误现象:ERROR 3753 (HY000): The 'password_reuse_interval' option is not supported for accounts without a password history policy —— 这说明只设了 password_reuse_interval 却没配 password_history。
- 必须先全局启用密码历史策略:
SET PERSIST password_history = 5;(保留最近 5 次密码)
- 再设置重用间隔:
SET PERSIST password_reuse_interval = 180;(180 天内不可复用)
- 这两个参数都需用
SET PERSIST(写入mysqld-auto.cnf),重启后仍生效;仅用SET GLOBAL会丢失 - 参数单位是「天」,不是秒或小时,填小数(如
0.5)会被截断为0,等效于禁用限制
给已有用户强制启用密码重用检查
全局参数只定义策略框架,具体用户是否受约束,取决于其认证插件是否支持密码验证,以及创建/修改时是否显式启用了策略。
MySQL 默认的 caching_sha2_password 插件支持该策略,但老用户可能仍用 mysql_native_password(不支持),需先切换:
- 确认当前插件:
SELECT user, host, plugin FROM mysql.user WHERE user = 'your_user';
- 切换插件并强制启用策略:
ALTER USER 'your_user'@'%' IDENTIFIED WITH caching_sha2_password BY 'new_strong_pass' PASSWORD HISTORY 5 PASSWORD REUSE INTERVAL 180;
- 注意:
PASSWORD HISTORY和PASSWORD REUSE INTERVAL必须在ALTER USER语句中**同时指定**,否则不会绑定到该账户 - 已存在的密码不会自动计入历史记录——只有后续
ALTER USER ... BY 'xxx'修改密码时,旧密码才被存档
为什么 SET GLOBAL 不生效?配置文件里写错位置会怎样
password_history 和 password_reuse_interval 是只读动态变量,不能靠 SET GLOBAL 临时修改,必须用 SET PERSIST 或写入配置文件。
若写进 my.cnf,必须放在 [mysqld] 段下,且值为整数:
[mysqld] password_history = 5 password_reuse_interval = 180
- 如果写成
password_reuse_interval = 6m或180d,MySQL 启动失败,报错:Invalid value for variable password_reuse_interval - 如果写在
[client]或[mysql]段下,完全被忽略,无提示 - 配置文件与
SET PERSIST冲突时,SET PERSIST优先级更高(值存在mysqld-auto.cnf中)
实际改密时被拒绝:不是密码弱,而是历史冲突
用户执行 ALTER USER USER() IDENTIFIED BY 'xxx'; 报错 ERROR 3754 (HY000): Cannot reuse a password within the password reuse interval,往往不是因为密码强度不够,而是新密码和 180 天内某次旧密码完全相同。
- MySQL 会逐字节比对密码哈希值,大小写、空格、特殊字符全部敏感
- 查历史记录用:
SELECT * FROM mysql.password_history WHERE user = 'your_user' AND host = '%' ORDER BY timestamp DESC LIMIT 10;(需有
SELECT权限) - 清空某用户历史记录(慎用):
DELETE FROM mysql.password_history WHERE user = 'your_user' AND host = '%'; FLUSH PRIVILEGES;
- 注意:
password_reuse_interval是按「时间窗口」判断,不是按「次数」;哪怕只改过 1 次密码,只要在 180 天内,就不能复用
真正容易被忽略的是:策略只作用于通过 IDENTIFIED BY 显式改密的操作,不拦截 SET PASSWORD(已弃用)、也不影响复制账号或系统账号(如 mysql.infoschema)。如果业务用中间件批量改密,得确认它发的是标准 ALTER USER 语法。
本文共计1054个文字,预计阅读时间需要5分钟。
MySQL 8.0.19 开始原生支持密码重用策略,通过设置 password_reuse_interval 控制用户多长时间内不能重复使用旧密码。此功能单独生效,但必须配合 password_history(保留一定次数的旧密码)一起使用,以增强安全性。仅对启用了验证插件的用户账户有效。
常见错误现象:ERROR 3753 (HY000): The 'password_reuse_interval' option is not supported for accounts without a password history policy —— 这说明只设了 password_reuse_interval 却没配 password_history。
- 必须先全局启用密码历史策略:
SET PERSIST password_history = 5;(保留最近 5 次密码)
- 再设置重用间隔:
SET PERSIST password_reuse_interval = 180;(180 天内不可复用)
- 这两个参数都需用
SET PERSIST(写入mysqld-auto.cnf),重启后仍生效;仅用SET GLOBAL会丢失 - 参数单位是「天」,不是秒或小时,填小数(如
0.5)会被截断为0,等效于禁用限制
给已有用户强制启用密码重用检查
全局参数只定义策略框架,具体用户是否受约束,取决于其认证插件是否支持密码验证,以及创建/修改时是否显式启用了策略。
MySQL 默认的 caching_sha2_password 插件支持该策略,但老用户可能仍用 mysql_native_password(不支持),需先切换:
- 确认当前插件:
SELECT user, host, plugin FROM mysql.user WHERE user = 'your_user';
- 切换插件并强制启用策略:
ALTER USER 'your_user'@'%' IDENTIFIED WITH caching_sha2_password BY 'new_strong_pass' PASSWORD HISTORY 5 PASSWORD REUSE INTERVAL 180;
- 注意:
PASSWORD HISTORY和PASSWORD REUSE INTERVAL必须在ALTER USER语句中**同时指定**,否则不会绑定到该账户 - 已存在的密码不会自动计入历史记录——只有后续
ALTER USER ... BY 'xxx'修改密码时,旧密码才被存档
为什么 SET GLOBAL 不生效?配置文件里写错位置会怎样
password_history 和 password_reuse_interval 是只读动态变量,不能靠 SET GLOBAL 临时修改,必须用 SET PERSIST 或写入配置文件。
若写进 my.cnf,必须放在 [mysqld] 段下,且值为整数:
[mysqld] password_history = 5 password_reuse_interval = 180
- 如果写成
password_reuse_interval = 6m或180d,MySQL 启动失败,报错:Invalid value for variable password_reuse_interval - 如果写在
[client]或[mysql]段下,完全被忽略,无提示 - 配置文件与
SET PERSIST冲突时,SET PERSIST优先级更高(值存在mysqld-auto.cnf中)
实际改密时被拒绝:不是密码弱,而是历史冲突
用户执行 ALTER USER USER() IDENTIFIED BY 'xxx'; 报错 ERROR 3754 (HY000): Cannot reuse a password within the password reuse interval,往往不是因为密码强度不够,而是新密码和 180 天内某次旧密码完全相同。
- MySQL 会逐字节比对密码哈希值,大小写、空格、特殊字符全部敏感
- 查历史记录用:
SELECT * FROM mysql.password_history WHERE user = 'your_user' AND host = '%' ORDER BY timestamp DESC LIMIT 10;(需有
SELECT权限) - 清空某用户历史记录(慎用):
DELETE FROM mysql.password_history WHERE user = 'your_user' AND host = '%'; FLUSH PRIVILEGES;
- 注意:
password_reuse_interval是按「时间窗口」判断,不是按「次数」;哪怕只改过 1 次密码,只要在 180 天内,就不能复用
真正容易被忽略的是:策略只作用于通过 IDENTIFIED BY 显式改密的操作,不拦截 SET PASSWORD(已弃用)、也不影响复制账号或系统账号(如 mysql.infoschema)。如果业务用中间件批量改密,得确认它发的是标准 ALTER USER 语法。