Password, recupero delle password e politiche relative alle password - Amazon Cognito
Reimpostazione e ripristino della passwordRequisiti password

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Password, recupero delle password e politiche relative alle password

A tutti gli utenti che accedono a un pool di utenti, anche gli utenti federati, vengono assegnate delle password ai rispettivi profili utente. Gli utenti locali e gli utenti collegati devono fornire una password al momento dell'accesso. Gli utenti federati non utilizzano le password del pool di utenti, ma accedono con il proprio provider di identità (IdP). Puoi consentire agli utenti di reimpostare le proprie password, reimpostare o modificare le password in qualità di amministratore e impostare politiche per la complessità e la cronologia delle password.

Amazon Cognito non memorizza le password degli utenti in testo normale. Invece, memorizza un hash della password di ogni utente con un sale specifico per l'utente. Per questo motivo, non è possibile recuperare le password esistenti dai profili utente nei pool di utenti. È consigliabile non archiviare le password utente in testo semplice da nessuna parte. Esegui la reimpostazione delle password quando gli utenti dimenticano le password.

Reimpostazione e ripristino della password

Gli utenti dimenticano le password. Potresti volere che siano in grado di reimpostare la password da soli oppure potresti voler richiedere che un amministratore reimposti la password per loro. I pool di utenti di Amazon Cognito offrono opzioni per entrambi i modelli. Questa parte della guida illustra le impostazioni del pool di utenti e le API operazioni per la reimpostazione della password.

L'ForgotPasswordAPIoperazione e l'opzione dell'interfaccia utente ospitata Password dimenticata? invia agli utenti un codice che, quando confermano di avere il codice corretto, dà loro l'opportunità di impostare una nuova password. ConfirmForgotPassword Si tratta del modello self-service di recupero delle password.

Le AdminResetUserPasswordAPIoperazioni AdminSetUserPassworde sono i metodi di reimpostazione della password avviati dall'amministratore. AdminSetUserPasswordimposta una password temporanea o permanente e AdminResetUserPassword invia agli utenti un codice per la reimpostazione della password nello stesso modo di. ForgotPassword

Il AccountRecoverySetting parametro è il parametro del pool di utenti che imposta i metodi che gli utenti possono utilizzare per recuperare la password quando chiamano il. ForgotPasswordAPI ForgotPasswordinvia un codice di ripristino a un indirizzo e-mail verificato o a un numero di telefono verificato. Il codice di ripristino è valido per un'ora. Quando si specifica AccountRecoverySetting per il bacino d'utenza, Amazon Cognito sceglie la destinazione di distribuzione del codice in base alla priorità impostata.

Una volta definito AccountRecoverySetting e SMS MFA configurato da un utente, SMS non può essere utilizzato come meccanismo di ripristino dell'account. La priorità per questa impostazione è determinata con 1, la priorità più alta. Cognito invia una verifica a uno solo dei metodi specificati.

Ad esempio, admin_only è un valore utilizzato quando l'amministratore non desidera che l'utente recuperi autonomamente il proprio account e richieda invece di contattare l'amministratore per reimpostare il proprio account. Non è possibile utilizzare admin_only con altri meccanismi di recupero degli account.

Se non specifichi l’AccountRecoverySetting, Amazon Cognito utilizza il meccanismo legacy per determinare il metodo di recupero della password. In questo caso, Cognito utilizza prima un telefono verificato. Se il telefono verificato non viene trovato per l'utente, Cognito utilizzerà quindi l'e-mail verificata.

Il MFA metodo preferito di un utente influenza i metodi che può utilizzare per recuperare la password. Gli utenti la cui preferenza MFA è tramite messaggio di posta elettronica non possono ricevere un codice di reimpostazione della password tramite e-mail. Gli utenti la cui preferenza MFA è tramite SMS messaggio non possono ricevere un codice per la reimpostazione della password da. SMS

Le impostazioni di recupero della password devono fornire un'opzione alternativa quando gli utenti non sono idonei al metodo preferito di reimpostazione della password. Ad esempio, i meccanismi di ripristino potrebbero avere l'e-mail come priorità assoluta e l'e-mail MFA potrebbe essere un'opzione nel pool di utenti. In questo caso, aggiungi SMS -message account recovery come seconda opzione o utilizza API le operazioni amministrative per reimpostare le password per quegli utenti.

Per ulteriori informazioni suAccountRecoverySetting, consulta CreateUserPoole UpdateUserPoolnell'Amazon Cognito Identity Provider API Reference.

Come comportarsi in caso di password dimenticata

In una determinata ora, consentiamo a un utente da 5 a 20 tentativi di richiedere o inserire un codice di reimpostazione della password come parte delle azioni e della password dimenticata. confirm-forgot-password Il valore esatto dipende dai parametri di rischio associati alle richieste. Notare che questo comportamento è soggetto a modifiche.

Aggiunta di requisiti password del bacino d'utenza

Le password complesse e sicure sono una best practice di sicurezza per il tuo pool di utenti. Soprattutto nelle applicazioni aperte a Internet, le password deboli possono esporre le credenziali degli utenti a sistemi che indovinano le password e cercano di accedere ai dati. Più una password è complessa, più è difficile indovinarla. Amazon Cognito offre strumenti aggiuntivi per gli amministratori attenti alla sicurezza, come funzionalità di sicurezza avanzate e AWS WAF web ACLs, ma la politica delle password è un elemento centrale della sicurezza della tua rubrica utenti.

Le password per gli utenti locali nei pool di utenti di Amazon Cognito non scadono automaticamente. Come best practice, registra l'ora, la data e i metadati delle reimpostazioni delle password degli utenti in un sistema esterno. Con un registro esterno dell'età della password, l'applicazione o un trigger Lambda possono cercare l'età della password di un utente e richiederne la reimpostazione dopo un determinato periodo.

Puoi configurare il tuo pool di utenti per richiedere una complessità minima della password conforme ai tuoi standard di sicurezza. Le password complesse hanno una lunghezza minima di almeno otto caratteri. Includono anche una combinazione di caratteri maiuscoli, numerici e speciali.

Con funzionalità di sicurezza avanzate, puoi anche impostare una politica per il riutilizzo delle password. Puoi impedire a un utente di reimpostare la propria password con una nuova password che corrisponda alla password corrente o con una qualsiasi delle 23 password precedenti aggiuntive, per un totale massimo di 24.

Impostazione di una policy delle password di un pool di utenti

  1. Crea un pool di utenti e vai alla fase Configurazione dei requisiti di sicurezza oppure accedi a un pool di utenti esistente e vai alla scheda Esperienza di accesso.

  2. Vai a Policy delle password.

  3. Scegli una Modalità policy delle password. I Valori predefiniti di Cognito configurano il pool di utenti con le impostazioni minime consigliate. Puoi anche scegliere una policy delle password Personalizzata.

  4. Imposta una Lunghezza minima della password. Tutti gli utenti devono registrarsi o essere creati con una password la cui lunghezza sia maggiore o uguale a questo valore. Puoi impostare questo valore minimo fino a 99, ma gli utenti possono impostare password lunghe fino a 256 caratteri.

  5. Configura le regole di complessità delle password in Requisiti delle password. Scegli i tipi di caratteri (numeri, caratteri speciali, lettere maiuscole e minuscole) che devono essere presenti almeno in una occorrenza nelle password di ogni utente.

    È possibile richiedere almeno uno dei seguenti caratteri nelle password. Dopo che Amazon Cognito ha verificato che le password contengano i caratteri minimi richiesti, le password degli utenti possono contenere caratteri aggiuntivi di qualsiasi tipo fino alla lunghezza massima della password.

    • Lettere maiuscole e minuscole dell'alfabeto latino di base

    • Numeri

    • Possono includere i seguenti caratteri speciali.

      ^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + -

    • Spazi non iniziali, non finali.

  6. Imposta un valore per Scadenza delle password temporanee impostate dagli amministratori. Trascorso questo periodo di tempo, un nuovo utente creato con una richiesta API AdminCreateUser nella console di Amazon Cognito non può effettuare l'accesso e impostare una nuova password. Dopo aver effettuato l'accesso con la password temporanea, i relativi account utente non scadono mai. Per aggiornare la durata della password nei pool di utenti di Amazon CognitoAPI, imposta un valore per TemporaryPasswordValidityDays nella tua richiesta CreateUserPoolo UpdateUserPoolAPI.

  7. Imposta un valore per Impedisci l'uso di password precedenti, se disponibile. Per utilizzare questa funzionalità, attiva le funzionalità di sicurezza avanzate nel tuo pool di utenti. Il valore di questo parametro è il numero di password precedenti a cui una nuova password non può corrispondere quando un utente reimposta la propria password.

Per reimpostare l'accesso per un account utente scaduto, esegui una delle seguenti operazioni: