Senhas, recuperação de senhas e políticas de senha - Amazon Cognito
Redefinição e recuperação de senhaRequisitos de senha

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Senhas, recuperação de senhas e políticas de senha

Todos os usuários que fazem login em um grupo de usuários, até mesmo usuários federados, têm senhas atribuídas aos seus perfis de usuário. Usuários locais e usuários vinculados devem fornecer uma senha ao entrarem. Os usuários federados não usam senhas de grupos de usuários, mas fazem login com seu provedor de identidade (IdP). Você pode permitir que os usuários redefinam suas próprias senhas, redefinam ou alterem senhas como administrador e definam políticas para complexidade e histórico de senhas.

O Amazon Cognito não armazena senhas de usuários em texto simples. Em vez disso, ele armazena um hash da senha de cada usuário com um sal específico do usuário. Por esse motivo, você não pode recuperar senhas existentes dos perfis de usuário em seus grupos de usuários. Como prática recomendada, não armazene senhas de usuário em texto simples em nenhum lugar. Redefina as senhas quando os usuários esquecerem suas senhas.

Redefinição e recuperação de senha

Os usuários esquecem suas senhas. Talvez você queira que eles mesmos possam redefinir a senha ou exigir que um administrador redefina a senha para eles. Os grupos de usuários do Amazon Cognito têm opções para os dois modelos. Esta parte do guia aborda as configurações do grupo de usuários e as API operações de redefinição de senha.

A ForgotPasswordAPIoperação e a opção de interface de usuário hospedada Esqueceu sua senha? enviam aos usuários um código que, quando eles confirmam que têm o código correto, lhes dá a oportunidade de definir uma nova senha com ConfirmForgotPassword. Esse é o modelo de recuperação de senha de autoatendimento.

As AdminResetUserPasswordAPIoperações AdminSetUserPassworde são os métodos de redefinição de senha iniciados pelo administrador. AdminSetUserPassworddefine uma senha temporária ou permanente e AdminResetUserPassword envia aos usuários um código de redefinição de senha da mesma forma que. ForgotPassword

O AccountRecoverySetting parâmetro é o parâmetro do grupo de usuários que define os métodos que os usuários podem usar para recuperar a senha ao chamarem ForgotPasswordAPIo. ForgotPasswordenvia um código de recuperação para um e-mail verificado ou um número de telefone verificado. O código de recuperação é válido por uma hora. Quando você especifica uma AccountRecoverySetting para o grupo de usuários, o Amazon Cognito escolhe o destino de entrega de código com base na prioridade definida por você.

Quando você define AccountRecoverySetting e um usuário SMS MFA configura, SMS não pode ser usado como um mecanismo de recuperação de conta. A prioridade dessa configuração é determinada com 1 sendo da prioridade mais alta. O Cognito envia uma verificação para apenas um dos métodos especificados.

Por exemplo, admin_only é um valor usado quando o administrador não deseja que o próprio usuário recupere sua conta e, em vez disso, exige que ele entre em contato com o administrador para redefinir sua conta. Você não pode usar admin_only com nenhum outro mecanismo de recuperação de conta.

Se você não especificar AccountRecoverySetting, o Amazon Cognito usará o mecanismo legado para determinar o método de recuperação de senha. Nesse caso, o Cognito usa primeiro um telefone verificado. Se o telefone verificado não for encontrado para o usuário, o Cognito fará fallback e usará o e-mail verificado em seguida.

O MFA método preferido do usuário influencia os métodos que ele pode usar para recuperar sua senha. Usuários cuja preferência MFA é por mensagem de e-mail não podem receber um código de redefinição de senha por e-mail. Usuários cuja preferência MFA é por SMS mensagem não podem receber um código de redefinição de senha até. SMS

Suas configurações de recuperação de senha devem fornecer uma opção alternativa quando os usuários não estão qualificados para o método de redefinição de senha de sua preferência. Por exemplo, seus mecanismos de recuperação podem ter o e-mail como primeira prioridade e o e-mail MFA pode ser uma opção no seu grupo de usuários. Nesse caso, adicione a recuperação da conta SMS -message como uma segunda opção ou use API operações administrativas para redefinir as senhas desses usuários.

Para obter mais informações sobreAccountRecoverySetting, consulte CreateUserPoole UpdateUserPoolna Referência do Provedor API de Identidade do Amazon Cognito.

Comportamento para esquecimento da senha

Em uma determinada hora, permitimos entre 5 e 20 tentativas para que um usuário solicite ou insira um código de redefinição de senha como parte das ações e ações de esquecimento da senha. confirm-forgot-password O valor exato depende dos parâmetros de risco associados às solicitações. Observe que esse comportamento está sujeito a alterações.

Como adicionar requisitos de senha do grupo de usuários

Senhas fortes e complexas são a melhor prática de segurança para seu grupo de usuários. Especialmente em aplicativos abertos à Internet, senhas fracas podem expor as credenciais de seus usuários a sistemas que adivinham senhas e tentam acessar seus dados. Quanto mais complexa for uma senha, mais difícil será adivinhá-la. O Amazon Cognito tem ferramentas adicionais para administradores preocupados com a segurança, como recursos avançados de segurança e AWS WAF web ACLs, mas sua política de senha é um elemento central da segurança do seu diretório de usuários.

As senhas para usuários locais nos grupos de usuários do Amazon Cognito não expiram automaticamente. Como prática recomendada, registre a hora, a data e os metadados das redefinições de senha do usuário em um sistema externo. Com um registro externo da idade da senha, seu aplicativo ou um acionador do Lambda pode pesquisar a idade da senha de um usuário e exigir uma redefinição após um determinado período.

Você pode configurar seu grupo de usuários para exigir uma complexidade mínima de senha que esteja em conformidade com seus padrões de segurança. As senhas complexas têm um comprimento mínimo de pelo menos oito caracteres. Eles também incluem uma mistura de caracteres maiúsculos, numéricos e especiais.

Com recursos avançados de segurança, você também pode definir uma política para reutilização de senhas. Você pode impedir que um usuário redefina sua senha para uma nova senha que corresponda à senha atual ou a qualquer uma das até 23 senhas anteriores adicionais, totalizando no máximo 24.

Como definir uma política do grupo de usuários

  1. Crie um grupo de usuários e navegue até a etapa Configurar requisitos de segurança ou acesse um grupo de usuários existente e navegue até a guia Experiência de login.

  2. Navegue até Política de senha.

  3. Escolha um Modo de política de senha. Os Padrões do Cognito configuram o grupo de usuários com as configurações mínimas recomendadas. Também é possível escolher uma política de senha Personalizada.

  4. Defina um Tamanho mínimo de senha. Todos os usuários devem se cadastrar ou serem criados com uma senha com tamanho maior ou igual a esse valor. É possível definir esse valor mínimo de até 99, mas os usuários podem definir senhas com até 256 caracteres.

  5. Configure as regras de complexidade de senhas em Requisitos de senha. Escolha os tipos de caracteres: números, caracteres especiais, letras maiúsculas e minúsculas, dos quais você deseja exigir pelo menos um na senha de cada usuário.

    Você pode exigir pelo menos um dos seguintes caracteres nas senhas. Depois que o Amazon Cognito verificar se as senhas contêm os caracteres mínimos necessários, as senhas de seus usuários podem conter caracteres adicionais de qualquer tipo até o tamanho máximo da senha.

    • Letras maiúsculas e minúsculas do latim básico

    • Números

    • Os caracteres especiais a seguir.

      ^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + -

    • Caracteres de espaço não iniciais e não finais.

  6. Defina um valor para Senhas temporárias definidas por administradores expiram em. Após esse período, um novo usuário criado no console do Amazon Cognito com AdminCreateUser não poderá fazer login e definir uma nova senha. Depois de fazerem login com a senha temporária, as contas de usuário nunca expirarão. Para atualizar a duração da senha nos grupos de usuários do Amazon CognitoAPI, defina um valor para TemporaryPasswordValidityDays em sua solicitação CreateUserPool. UpdateUserPoolAPI

  7. Defina um valor para Impedir o uso de senhas anteriores, se disponível. Para usar esse recurso, ative os recursos avançados de segurança em seu grupo de usuários. O valor desse parâmetro é o número de senhas anteriores que uma nova senha é impedida de corresponder quando um usuário redefine sua senha.

Para redefinir o acesso de uma conta de usuário expirada, faça o seguinte: