IBM Cloud Docs
Definición de políticas de contraseñas

Definición de políticas de contraseñas

Las políticas de contraseñas, como por ejemplo los requisitos de refuerzo de contraseña, le ayudan a mejorar la seguridad de las aplicaciones. Definiendo políticas avanzadas, puede definir las reglas a las que debe ajustarse un usuario al especificar su contraseña o al intentar iniciar sesión en la app. Por ejemplo, puede definir el número de veces que un usuario puede intentar iniciar sesión hasta que se le bloquea la cuenta.

Política: fortaleza de contraseña

Una contraseña segura es difícil o improbable de adivinar ya sea de forma manual o automática. Para establecer los requisitos para la fortaleza de una contraseña de usuario, puede utilizar los pasos siguientes.

Para establecer esta configuración utilizando la GUI:

  1. Vaya al separador Directorio en la nube > Políticas de contraseñas del panel de control de App ID.

  2. En el recuadro Definir fortaleza de contraseña, pulse Editar. Se abre una pantalla.

  3. Especifique una serie de expresiones regulares válida en el recuadro Fortaleza de contraseña.

    Ejemplos:

    • Debe tener al menos 8 caracteres. (^.{8,}$)
    • Debe tener un número, una letra minúscula y una letra mayúscula. (^(?:(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).*)$)
    • Debe tener sólo letras y números en inglés. (^[A-Za-z0-9]*$)
    • Debe tener al menos un carácter exclusivo. (^(\w)\w*?(?!\1)\w+$)

  4. Pulse Guardar.

La seguridad de la contraseña puede establecerse en la página de configuración de Cloud Directory en el panel App ID, o utilizando las API de gestión.

Cómo configurar un mensaje de error personalizado

Si establece su propia política de expresión regular de contraseña y un usuario elige una contraseña que no cumple sus requisitos, el mensaje predeterminado es The password doesn't meet the strength requirements. También puede elegir establecer su propio mensaje utilizando el punto final de /management/v4/<tenantId>/config/cloud_directory/password_regex.

Políticas de contraseñas avanzadas

Puede mejorar la seguridad de la aplicación imponiendo restricciones de contraseña.

Puede crear una política de contraseñas avanzada que esté formada por cualquier combinación de las cinco características siguientes:

  • Bloqueo tras repetir las credenciales de forma errónea
  • Evitar la reutilización de las contraseñas
  • Caducidad de la contraseña
  • Período mínimo entre los cambios de contraseña
  • Asegúrese de que la contraseña no incluye el nombre de usuario

Al activar esta función, se activa la facturación de las funciones de seguridad avanzadas. Para obtener más información, consulte ¿Cómo calcula App ID los precios?

Política: Evitar la reutilización de las contraseñas

Es posible que desee evitar que los usuarios elijan una contraseña utilizada recientemente al definir una nueva contraseña. Si intentan definir una contraseña que se ha utilizado recientemente, se muestra un error en la GUI del widget de inicio de sesión predeterminado y se solicita al usuario que especifique otra opción. Este parámetro le permite elegir el número de contraseñas que debe tener un usuario antes de poder repetir una contraseña utilizada anteriormente.

Para establecer esta configuración utilizando la GUI:

  1. Vaya a la pestaña Directorio en la nube > Políticas de contraseña del panel App ID.

  2. Cambie Política de contraseñas avanzada a Habilitado.

  3. Especifique El número de veces que una contraseña no se puede repetir. Puede utilizar cualquier valor entero comprendido 1 y 8.

  4. Cambie El número de veces que una contraseña no se puede repetir a Habilitado.

  5. Pulse Guardar.

Las contraseñas anteriores se almacenan de forma segura de la misma forma que se almacena la contraseña actual de un usuario.

Política: Bloqueo tras repetir las credenciales de forma errónea

Es posible que desee proteger las cuentas de los usuarios bloqueando temporalmente la posibilidad de iniciar sesión cuando se detecta un comportamiento sospechoso como, por ejemplo, múltiples intentos de inicio de sesión consecutivos con una contraseña incorrecta. Esta medida puede ayudarle a evitar que una parte maliciosa obtenga acceso a la cuenta de un usuario adivinando su contraseña.

Si una cuenta está bloqueada, los usuarios no podrán iniciar sesión ni realizar cualquier otra operación de autoservicio hasta que haya transcurrido el período de bloqueo especificado. Cuando el período de bloqueo haya finalizado, el usuario se desbloqueará automáticamente.

Para establecer esta configuración utilizando la GUI:

  1. Vaya al separador Directorio en la nube > Políticas de contraseñas del panel de control de App ID.

  2. Cambie Política de contraseñas avanzada a Habilitado.

  3. Especifique El número de veces que un usuario puede intentar iniciar la sesión antes de bloquearlo. Puede utilizar cualquier valor entero dentro del rango 1 - 10.

  4. Especifique El tiempo que un usuario estará bloqueado tras intentar iniciar contraseña con unas credenciales incorrectas. El tiempo se especifica en minutos. Puede utilizar cualquier valor entero dentro del rango 1 - 1440 (24 horas).

  5. Cambie la fila El número de veces que un usuario puede intentar iniciar la sesión antes de bloquearlo a Habilitado.

  6. Pulse Guardar.

Puede desbloquear un usuario antes de que se haya terminado el período de bloqueo. Para ver si están bloqueados, compruebe si el campo active (activo) está establecido en false. También puede comprobar si el estado del separador Usuarios del panel de control de servicio está establecido en disabled (inhabilitado). Para desbloquear un usuario, debe utilizar la API para establecer el campo active (activo) en true.

Política: Período mínimo entre los cambios de contraseña

Es posible que desee evitar que los usuarios cambien la contraseña rápidamente estableciendo un tiempo mínimo que un usuario debe esperar de un cambio de contraseña al siguiente.

Esta característica es especialmente útil cuando se utiliza con la política Avoid password reuse. Sin esta limitación, un usuario podría cambiar de contraseña varias veces seguidas para omitir la limitación de volver a utilizar contraseñas recientes.

Para establecer esta configuración utilizando la GUI:

  1. Vaya al separador Directorio en la nube > Políticas de contraseñas del panel de control de App ID.

  2. Cambie Política de contraseñas avanzada a Habilitado.

  3. Especifique El tiempo mínimo entre cambios de contraseña. El tiempo se especifica en horas. Puede utilizar cualquier valor entero dentro del rango 1 - 720 (30 días).

  4. Cambie El tiempo mínimo entre cambios de contraseña a Habilitado.

  5. Pulse Guardar.

Política: Caducidad de la contraseña

Por motivos de seguridad, es posible que desee forzar una política de rotación de contraseñas. Estableciendo una caducidad para la contraseña de los usuarios, estos se ven obligados a actualizar su contraseña para poder conservar el acceso a la aplicación. Esto disminuye la probabilidad de que las credenciales de un usuario puedan ocasionar daños a largo plazo en la aplicación. Cuando caduca la contraseña, los usuarios se ven obligados a restablecerla en su próximo intento de inicio de sesión.

Para establecer esta configuración utilizando la GUI:

  1. Vaya al separador Directorio en la nube > Políticas de contraseñas del panel de control de App ID.

  2. Cambie Política de contraseñas avanzada a Habilitado.

  3. Especifique un Tiempo de caducidad de la contraseña. El tiempo se especifica en días. Puede utilizar cualquier valor entero dentro del rango 1 - 90.

  4. Cambie Tiempo de caducidad de la contraseña a Habilitado.

  5. Pulse Guardar.

Cuando se activa esta opción por primera vez, las contraseñas de usuario existentes no tienen una fecha de caducidad. Para asegurarse de que todos los usuarios estén limitados por la política de rotación de contraseñas, puede pedir a los usuarios que actualicen su contraseña después de configurar esta característica.

Experiencia personalizada de inicio de sesión

Si utiliza un inicio de sesión personalizado, se activará un error cuando el usuario intente iniciar sesión con una contraseña caducada. Es su responsabilidad configurar la aplicación para que proporcione la experiencia de usuario necesaria. Puede llamar la API de cambio de contraseña para establecer la nueva contraseña.

La respuesta del punto final de señal tiene un aspecto parecido al siguiente:

{
  "error" : "invalid_grant",
  "error_description" : "Password expired",
  "user_id" : "356e065e-49da-45f6-afa3-091a7b464f51"
}

Política: garantizar que la contraseña no incluya el nombre de usuario

Para obtener contraseñas más fuertes, es posible que desee evitar que los componentes puedan crear una contraseña que contenga su nombre de usuario o la primera parte de su dirección de correo electrónico.

Para establecer esta configuración utilizando la GUI:

  1. Vaya al separador Directorio en la nube > Políticas de contraseñas del panel de control de App ID.

  2. Cambie Política de contraseñas avanzada a Habilitado.

  3. Cambie La contraseña no puede contener el ID de usuario a Habilitado.

  4. Pulse Guardar.

Esta restricción no distingue entre mayúsculas y minúsculas. Los usuarios no pueden alterar las mayúsculas y minúsculas de algunos o todos los caracteres para poder utilizar la información personal. Para configurar esta opción, cambie el conmutado en Activado.