Roundcube邮件系统密码强度检测机制解析

密码插件评分机制详解

Roundcube邮件系统的密码插件提供了一个重要的安全功能——密码强度检测。该系统通过password_strength_driver配置项支持多种检测机制，其中pwned驱动专门用于检查密码是否出现在安全风险数据库中。

pwned驱动评分规则

pwned驱动采用三级评分机制：

1. 安全密码(3分)：当密码未在Have I Been Pwned数据库中发现时
2. 风险密码(1分)：当密码在安全风险数据库中被发现时
3. 检测异常(2分)：当查询过程中出现错误时

配置注意事项

系统管理员在配置password_minimum_score参数时需要特别注意：

• 设置为1或更低：将使所有密码通过检查，失去安全意义
• 设置为4或更高：将拒绝所有密码，因为pwned驱动的最高评分仅为3分
• 推荐设置：通常应设置为3，以确保只接受未出现过的安全密码

实际应用建议

对于企业级部署，建议采用以下配置组合：

$config['password_strength_driver'] = 'pwned';
$config['password_minimum_length'] = 12;  // 推荐更长的最小长度
$config['password_minimum_score'] = 3;    // 必须使用安全密码

这种配置能有效防止用户使用已知存在风险的密码，大幅提升系统安全性。同时，建议配合密码复杂度要求和定期强制修改策略，构建完整的多层次安全防护体系。