20.3.2 设置账户密码

在MySQL数据库管理系统中，账户密码的管理是确保数据库安全性的关键环节之一。正确、安全地设置账户密码不仅能够有效防止未授权访问，还能为数据库的日常运维和访问控制提供坚实的保障。本章节将详细探讨如何在MySQL中设置账户密码，包括初始密码设置、密码更改、密码策略配置以及密码安全最佳实践等内容。

20.3.2.1 初始密码设置

当您通过MySQL的安装过程或创建新用户时，通常需要为该用户设置初始密码。MySQL提供了几种方法来设置或重置密码，具体方法取决于您的MySQL版本和操作系统环境。

使用CREATE USER语句

在MySQL 5.7及以上版本中，推荐使用CREATE USER语句来创建新用户并直接设置密码。例如：

CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password';

这里，'newuser'是新创建的用户名，'localhost'指定了该用户只能从本地机器访问（您也可以将其更改为'%'以允许从任何主机连接），'password'则是为该用户设置的密码。

使用ALTER USER语句

如果您已经创建了用户但尚未设置密码，或者需要更改现有用户的密码，可以使用ALTER USER语句。例如：

ALTER USER 'existinguser'@'localhost' IDENTIFIED BY 'newpassword';

这条语句将'existinguser'用户的密码更改为'newpassword'。

早期版本的MySQL

在MySQL 5.7之前的版本中，SET PASSWORD语句被用于设置或更改密码，但自MySQL 5.7.6起，该语法已被ALTER USER取代。不过，了解旧方法对于维护旧系统仍然有用：

SET PASSWORD FOR 'username'@'localhost' = PASSWORD('password');

注意：从MySQL 5.7.6开始，PASSWORD()函数已被弃用，因为它不提供加密强度足够的哈希算法。

20.3.2.2 密码策略配置

为了加强密码的安全性，MySQL允许您配置密码策略，包括密码长度、复杂度（如必须包含数字、大写字母、小写字母和特殊字符）以及密码过期时间等。这些策略通过系统变量和插件（如validate_password插件）来管理。

安装并启用validate_password插件

validate_password插件是MySQL官方提供的一个用于验证密码强度的插件。首先，您需要确认该插件是否已安装并启用：

SHOW PLUGINS;

如果未启用，您可以通过以下命令安装并启用它（注意：这通常在MySQL安装时自动完成）：

INSTALL PLUGIN validate_password SONAME 'validate_password.so';

（注意：在Windows上，SONAME的值可能不同，如validate_password.dll。）

配置密码策略参数

一旦validate_password插件启用，您就可以通过调整系统变量来配置密码策略了。以下是一些常见的配置选项：

• validate_password_length：密码最小长度。
• validate_password_policy：密码强度级别（0=LOW, 1=MEDIUM, 2=STRONG）。
• validate_password_mixed_case_count：密码中必须包含的大写字母和小写字母的最小数量。
• validate_password_number_count：密码中必须包含的数字的最小数量。
• validate_password_special_char_count：密码中必须包含的特殊字符的最小数量。

例如，要设置密码最小长度为8，密码强度级别为STRONG，可以使用以下命令：

SET GLOBAL validate_password_length = 8;
SET GLOBAL validate_password_policy = STRONG;

20.3.2.3 密码安全最佳实践

除了上述的密码设置和策略配置外，遵循一些密码安全最佳实践也是非常重要的：

1. 使用强密码：确保密码足够复杂，包含大小写字母、数字和特殊字符，并且长度足够长（建议至少8位）。

2. 定期更改密码：定期更改密码可以减少密码泄露后被滥用的风险。

3. 不要重用密码：避免在不同账户或服务间使用相同的密码，以减少一个账户被攻破后其他账户也受影响的风险。

4. 使用密码管理工具：考虑使用密码管理工具来生成、存储和自动填充强密码，以提高安全性和便利性。

5. 限制账户权限：遵循最小权限原则，仅为用户授予完成其工作所必需的数据库访问权限。

6. 启用SSL/TLS加密：如果可能，启用SSL/TLS加密来保护客户端和MySQL服务器之间的通信，防止密码在传输过程中被截获。

7. 审计和监控：定期审计和监控数据库访问日志，以识别任何异常或可疑活动。

8. 使用双因素认证：对于需要更高安全性的场景，考虑实施双因素认证来增强账户安全性。

通过遵循这些最佳实践，您可以显著提高MySQL数据库账户密码的安全性，从而保护数据库免受未授权访问和潜在的安全威胁。