Ajout d’exigences de mot de passe pour un groupe d’utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajout d’exigences de mot de passe pour un groupe d’utilisateurs

Les mots de passe forts et complexes constituent une bonne pratique de sécurité pour votre groupe d'utilisateurs. En particulier dans les applications ouvertes sur Internet, les mots de passe faibles peuvent exposer les informations d'identification de vos utilisateurs à des systèmes qui devinent les mots de passe et tentent d'accéder à vos données. Plus un mot de passe est complexe, plus il est difficile à deviner. Amazon Cognito propose des outils supplémentaires pour les administrateurs soucieux de la sécurité, tels que des fonctionnalités de sécurité avancées et des ACL AWS WAF Web, mais votre politique en matière de mots de passe est un élément central de la sécurité de votre annuaire d'utilisateurs.

Les mots de passe des utilisateurs locaux des groupes d’utilisateurs Amazon Cognito n’expirent pas automatiquement. Il est recommandé de consigner l'heure, la date et les métadonnées des réinitialisations du mot de passe utilisateur dans un système externe. Avec un journal externe de l'ancienneté du mot de passe, votre application ou un déclencheur Lambda peut rechercher l'âge du mot de passe d'un utilisateur et nécessiter une réinitialisation après une période donnée.

Vous pouvez configurer votre groupe d'utilisateurs pour exiger une complexité minimale des mots de passe conforme à vos normes de sécurité. Les mots de passe complexes ont une longueur minimale de huit caractères. Ils incluent également un mélange de majuscules, de chiffres et de caractères spéciaux.

Pour configurer une politique de mot de passe pour un groupe d’utilisateurs

  1. Créez un groupe d’utilisateurs et accédez à l’étape Configurer les exigences de sécurité, ou accédez à un groupe d’utilisateurs existant et accédez à l’onglet Expérience de connexion.

  2. Accédez à la Stratégie de mot de passe.

  3. Choisissez un Mode de stratégie de mot de passe. Valeurs par défaut de Cognito configure votre groupe d’utilisateurs avec les paramètres minimaux recommandés. Vous pouvez également choisir une politique de mot de passe personnalisée.

  4. Configurez une Longueur minimum du mot de passe. Tous les utilisateurs doivent s’inscrire ou être créés avec un mot de passe dont la longueur est supérieure ou égale à cette valeur. Vous pouvez définir cette valeur minimale jusqu’à 99, mais vos utilisateurs peuvent définir des mots de passe d’une longueur maximale de 256 caractères.

  5. Configurez les règles de complexité des mots de passe sous Exigences relatives au mot de passe. Choisissez les types de caractères (chiffres, caractères spéciaux, lettres majuscules et minuscules) que vous souhaitez exiger (au moins un) dans le mot de passe de chaque utilisateur.

    Vous pouvez exiger au moins l'un des caractères suivants dans les mots de passe. Une fois qu'Amazon Cognito a vérifié que les mots de passe contiennent le minimum de caractères requis, les mots de passe de vos utilisateurs peuvent contenir des caractères supplémentaires de n'importe quel type, jusqu'à la longueur maximale du mot de passe.

    • Lettres latines de base majuscules et minuscules

    • Nombres

    • Les caractères spéciaux suivants.

      ^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + -

    • Caractères espace ni au début ni à la fin.

  6. Définissez une valeur pour Les mots de passe temporaires définis par les administrateurs expirent dans. Une fois ce délai écoulé, un nouvel utilisateur que vous avez créé dans la console Amazon Cognito ou avec AdminCreateUser ne peut pas se connecter ni définir un nouveau mot de passe. Une fois qu’ils se sont connectés avec leur mot de passe temporaire, leur compte utilisateur n’expire jamais. Pour mettre à jour la durée du mot de passe dans l'API des groupes d'utilisateurs Amazon Cognito, définissez une valeur pour TemporaryPasswordValidityDays dans votre demande CreateUserPoolou dans votre demande d'UpdateUserPoolAPI.

    1. Pour réinitialiser l’accès à un compte utilisateur expiré, effectuez l’une des actions suivantes.

      • Supprimez le profil utilisateur et créez-en un nouveau.

      • Définissez un nouveau mot de passe permanent dans une demande d'AdminSetUserPasswordAPI.

      • Générez un nouveau code de confirmation dans une demande d'AdminResetUserPasswordAPI.