Password, ripristino dell'account e politiche relative alle password - Amazon Cognito
Reimpostazione e ripristino della passwordRequisiti password

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Password, ripristino dell'account e politiche relative alle password

A tutti gli utenti che accedono a un pool di utenti, anche gli utenti federati, vengono assegnate delle password ai rispettivi profili utente. Gli utenti locali e gli utenti collegati devono fornire una password al momento dell'accesso. Gli utenti federati non utilizzano le password del pool di utenti, ma accedono con il proprio provider di identità (IdP). Puoi consentire agli utenti di reimpostare le proprie password, reimpostare o modificare le password in qualità di amministratore e impostare politiche per la complessità e la cronologia delle password.

Amazon Cognito non memorizza le password degli utenti in testo normale. Invece, memorizza un hash della password di ogni utente con un sale specifico per l'utente. Per questo motivo, non è possibile recuperare le password esistenti dai profili utente nei pool di utenti. È consigliabile non archiviare le password utente in testo semplice da nessuna parte. Esegui la reimpostazione delle password quando gli utenti dimenticano le password.

Reimpostazione e ripristino della password

Gli utenti dimenticano le password. Potresti volere che siano in grado di reimpostare la password da soli oppure potresti voler richiedere che un amministratore reimposti la password per loro. I pool di utenti di Amazon Cognito offrono opzioni per entrambi i modelli. Questa parte della guida illustra le impostazioni del pool di utenti e le operazioni API per la reimpostazione della password.

Il funzionamento dell'ForgotPasswordAPI e l'opzione di accesso gestito Password dimenticata? invia agli utenti un codice che, quando confermano di avere il codice corretto, dà loro l'opportunità di impostare una nuova password. ConfirmForgotPassword Questo è il modello self-service per il recupero delle password.

Recupero di utenti non verificati

Puoi inviare messaggi di ripristino agli utenti che hanno verificato il proprio indirizzo e-mail o numero di telefono. Se non dispongono di un'e-mail o di un telefono di ripristino confermati, un amministratore del pool di utenti può contrassegnare il proprio indirizzo e-mail o numero di telefono come verificato. Modifica gli attributi utente dell'utente nella console Amazon Cognito e seleziona la casella di controllo accanto a Segna il numero di telefono come verificato o Contrassegna l'indirizzo e-mail come verificato. Puoi anche impostare email_verified o su phone_number_verified true in una AdminUpdateUserAttributesrichiesta. Per i nuovi utenti, l'operazione ResendConfirmationCodeAPI invia un nuovo codice al loro indirizzo e-mail o numero di telefono e possono completare la conferma e la verifica in modalità self-service.

Reimposta le password come amministratore

Le operazioni AdminSetUserPassworde AdminResetUserPasswordAPI sono i metodi di reimpostazione della password avviati dall'amministratore. AdminSetUserPasswordimposta una password temporanea o permanente e AdminResetUserPassword invia agli utenti un codice per la reimpostazione della password allo stesso modo di. ForgotPassword

Configura la reimpostazione e il ripristino della password

Amazon Cognito seleziona automaticamente le opzioni di ripristino dell'account tra gli attributi richiesti e le opzioni di accesso che scegli quando crei un pool di utenti nella console. Puoi modificare queste impostazioni predefinite.

Il metodo MFA preferito da un utente influenza i metodi che può utilizzare per recuperare la password. Gli utenti la cui MFA preferita è tramite messaggio di posta elettronica non possono ricevere un codice di reimpostazione della password tramite e-mail. Gli utenti la cui MFA preferita è tramite messaggio SMS non possono ricevere un codice di reimpostazione della password tramite SMS.

Le impostazioni di recupero della password devono fornire un'opzione alternativa quando gli utenti non sono idonei al metodo preferito di reimpostazione della password. Ad esempio, i meccanismi di ripristino potrebbero avere l'e-mail come priorità assoluta e la MFA e-mail potrebbe essere un'opzione nel tuo pool di utenti. In questo caso, aggiungi il ripristino dell'account tramite SMS come seconda opzione o utilizza le operazioni amministrative dell'API per reimpostare le password di tali utenti.

Nota

Gli utenti non possono ricevere codici MFA e di reimpostazione della password allo stesso indirizzo e-mail o numero di telefono. Se utilizzano password monouso (OTPs) dai messaggi di posta elettronica per MFA, devono utilizzare i messaggi SMS per il ripristino dell'account. Se utilizzano OTPs i messaggi SMS per la MFA, devono utilizzare i messaggi e-mail per il ripristino dell'account. Nei pool di utenti con MFA, gli utenti potrebbero non essere in grado di completare il ripristino self-service della password se dispongono di attributi per il proprio indirizzo e-mail ma non dispongono del numero di telefono o del numero di telefono ma non dell'indirizzo e-mail.

Per evitare che gli utenti non possano reimpostare le proprie password nei pool di utenti con questa configurazione, imposta gli phone_number attributi email e come richiesto. In alternativa, puoi configurare processi che raccolgono e impostano sempre tali attributi quando gli utenti si registrano o quando gli amministratori creano profili utente. Quando gli utenti dispongono di entrambi gli attributi, Amazon Cognito invia automaticamente i codici di reimpostazione della password alla destinazione che non è il fattore MFA dell'utente.

La procedura seguente configura il ripristino degli account in modalità self-service in un pool di utenti.

Configure self-service password reset (API/SDK)

Il AccountRecoverySetting parametro è il parametro del pool di utenti che imposta i metodi che gli utenti possono utilizzare per recuperare la password nelle richieste ForgotPasswordAPI o quando selezionano Password dimenticata? nell'accesso gestito. ForgotPasswordinvia un codice di ripristino a un'email o a un numero di telefono verificato. Il codice di ripristino è valido per un'ora. Quando si specifica AccountRecoverySetting per il bacino d'utenza, Amazon Cognito sceglie la destinazione di distribuzione del codice in base alla priorità impostata.

Quando si definisce AccountRecoverySetting e un utente dispone di SMS MFA configurato, SMS non può essere utilizzato come meccanismo di recupero degli account. La priorità per questa impostazione è determinata in modo 1 che sia la massima. Amazon Cognito invia una verifica solo a uno dei metodi specificati. L'esempio seguente AccountRecoverySetting imposta gli indirizzi e-mail come destinazione principale per i codici di ripristino dell'account, ricorrendo al messaggio SMS se l'utente non dispone di un attributo di indirizzo e-mail.

"AccountRecoverySetting": { 
   "RecoveryMechanisms": [ 
      { 
         "Name": "verified_email",
         "Priority": 1
      },
      { 
         "Name": "verified_phone_number",
         "Priority": 2
      }
   ]
}

Il valore admin_only disattiva il ripristino self-service dell'account, richiedendo invece agli utenti di contattare l'amministratore per la reimpostazione della password. Non è possibile utilizzare admin_only con altri meccanismi di recupero degli account. Quanto segue e

"AccountRecoverySetting": { 
   "RecoveryMechanisms": [ 
      { 
         "Name": "admin_only",
         "Priority": 1
      }
   ]
}

Se non lo specifichiAccountRecoverySetting, Amazon Cognito invia prima il codice di ripristino a un numero di telefono verificato e a un indirizzo e-mail verificato se gli utenti non dispongono di un attributo di numero di telefono.

Per ulteriori informazioni su AccountRecoverySetting, consulta CreateUserPool e UpdateUserPool.

Configure self-service password reset (console)

Configura le opzioni di ripristino dell'account e reimpostazione della password dal menu di accesso del tuo pool di utenti.

Per configurare il ripristino dell'account utente

  1. Accedi alla console Amazon Cognito.

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli il menu di accesso. Individua il recupero dell'account utente e scegli Modifica

  5. Per consentire agli utenti di reimpostare le proprie password, scegli Abilita il ripristino dell'account in modalità self-service.

  6. Configura il metodo di consegna per i codici di recupero delle password che il tuo pool di utenti invia agli utenti. In Metodo di consegna per i messaggi di recupero dell'account utente, seleziona un'opzione disponibile. Come procedura consigliata, scegli un'opzione che abbia un metodo secondario per l'invio dei messaggi, ad esempio e-mail se disponibile, altrimenti SMS. Con un metodo di consegna secondario, Amazon Cognito può inviare codici agli utenti in un modo che richiede loro di utilizzare un supporto diverso per la reimpostazione della password rispetto all'MFA.

  7. Seleziona Salva modifiche.

Come comportarsi in caso di password dimenticata

In una determinata ora, consentiamo a un utente da 5 a 20 tentativi di richiedere o inserire un codice di reimpostazione della password come parte delle azioni e della password dimenticata. confirm-forgot-password Il valore esatto dipende dai parametri di rischio associati alle richieste. Notare che questo comportamento è soggetto a modifiche.

Aggiunta di requisiti password del bacino d'utenza

Le password complesse e sicure sono una best practice di sicurezza per il tuo pool di utenti. Soprattutto nelle applicazioni aperte a Internet, le password deboli possono esporre le credenziali degli utenti a sistemi che indovinano le password e cercano di accedere ai dati. Più una password è complessa, più è difficile indovinarla. Amazon Cognito offre strumenti aggiuntivi per gli amministratori attenti alla sicurezza, come funzionalità di sicurezza avanzate e AWS WAF web ACLs, ma la politica delle password è un elemento centrale della sicurezza della tua rubrica utenti.

Le password per gli utenti locali nei pool di utenti di Amazon Cognito non scadono automaticamente. Come best practice, registra l'ora, la data e i metadati delle reimpostazioni delle password degli utenti in un sistema esterno. Con un registro esterno dell'età della password, l'applicazione o un trigger Lambda possono cercare l'età della password di un utente e richiederne la reimpostazione dopo un determinato periodo.

Puoi configurare il tuo pool di utenti in modo che richieda una complessità minima della password conforme ai tuoi standard di sicurezza. Le password complesse hanno una lunghezza minima di almeno otto caratteri. Includono anche una combinazione di caratteri maiuscoli, numerici e speciali.

Con funzionalità di sicurezza avanzate, puoi anche impostare una politica per il riutilizzo delle password. Puoi impedire a un utente di reimpostare la propria password con una nuova password che corrisponda alla password corrente o con una qualsiasi delle 23 password precedenti aggiuntive, per un totale massimo di 24.

Impostazione di una policy delle password di un pool di utenti

  1. Crea un pool di utenti e vai al passaggio Configura i requisiti di sicurezza oppure accedi a un pool di utenti esistente e vai al menu Metodi di autenticazione.

  2. Vai a Policy delle password.

  3. Scegli una Modalità policy delle password. I Valori predefiniti di Cognito configurano il pool di utenti con le impostazioni minime consigliate. Puoi anche scegliere una policy delle password Personalizzata.

  4. Imposta una Lunghezza minima della password. Tutti gli utenti devono registrarsi o essere creati con una password la cui lunghezza sia maggiore o uguale a questo valore. Puoi impostare questo valore minimo fino a 99, ma gli utenti possono impostare password lunghe fino a 256 caratteri.

  5. Configura le regole di complessità delle password in Requisiti delle password. Scegli i tipi di caratteri (numeri, caratteri speciali, lettere maiuscole e minuscole) che devono essere presenti almeno in una occorrenza nelle password di ogni utente.

    È possibile richiedere almeno uno dei seguenti caratteri nelle password. Dopo che Amazon Cognito ha verificato che le password contengano i caratteri minimi richiesti, le password degli utenti possono contenere caratteri aggiuntivi di qualsiasi tipo fino alla lunghezza massima della password.

    • Lettere maiuscole e minuscole dell'alfabeto latino di base

    • Numeri

    • Possono includere i seguenti caratteri speciali.

      ^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + -

    • Spazi non iniziali, non finali.

  6. Imposta un valore per Scadenza delle password temporanee impostate dagli amministratori. Trascorso questo periodo di tempo, un nuovo utente creato con una richiesta API AdminCreateUser nella console di Amazon Cognito non può effettuare l'accesso e impostare una nuova password. Dopo aver effettuato l'accesso con la password temporanea, i relativi account utente non scadono mai. Per aggiornare la durata della password nell'API dei pool di utenti di Amazon Cognito, imposta un valore per TemporaryPasswordValidityDays nella tua richiesta CreateUserPoolo UpdateUserPoolAPI.

  7. Imposta un valore per Impedisci l'uso di password precedenti, se disponibile. Per utilizzare questa funzionalità, attiva le funzionalità di sicurezza avanzate nel tuo pool di utenti. Il valore di questo parametro è il numero di password precedenti a cui una nuova password non può corrispondere quando un utente reimposta la propria password.

Per reimpostare l'accesso per un account utente scaduto, esegui una delle seguenti operazioni: