IBM Cloud Docs
Définition de règles sur les mots de passe

Définition de règles sur les mots de passe

Les règles sur les mots de passe, telles que les exigences liées à la force du mot de passe, vous aident à obtenir des applications mieux sécurisées. En définissant des règles avancées, vous pouvez définir les règles que l'utilisateur doit respecter lorsqu'il définit son mot de passe ou lorsqu'il tente de se connecter à votre application. Par exemple, vous pouvez définir le nombre de tentatives de connexion d'un utilisateur avant le verrouillage de son compte.

Règle : Force du mot de passe

Si le mot de passe est fiable, il est difficile, voire impossible, de le deviner manuellement ou à l'aide d'un programme. Pour définir des exigences concernant la force d'un mot de passe utilisateur, procédez comme suit :

Pour définir cette configuration à l'aide de l'interface graphique :

  1. Accédez à l'onglet Cloud Directory > Règles sur les mots de passe du tableau de bord App ID.

  2. Dans la case Définir la force du mot de passe, cliquez sur Editer. Un écran s'ouvre.

  3. Entrez une expression régulière valide dans la zone Force du mot de passe.

    Exemples :

    • Doit contenir au moins 8 caractères. (^.{8,}$)
    • Doit avoir avoir un numéro, une lettre minuscule et une lettre majuscule. (^(?:(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).*)$)
    • Il ne doit y avoir que des lettres et des chiffres en anglais. (^[A-Za-z0-9]*$)
    • Doit avoir au moins un caractère unique. (^(\w)\w*?(?!\1)\w+$)

  4. Cliquez sur Sauvegarder.

La force du mot de passe peut être définie dans la page des paramètres de Cloud Directory dans le tableau de bord App ID, ou en utilisant les API de gestion.

Définition d'un message d'erreur personnalisé

Si vous définissez votre propre règle d'expression régulière de mot de passe et qu'un utilisateur choisit un mot de passe qui ne répond pas à vos exigences, le message par défaut est The password doesn't meet the strength requirements. Vous pouvez également choisir de définir votre propre message en utilisant le noeud final /management/v4/<tenantId>/config/cloud_directory/password_regex.

Règles avancées sur les mots de passe

Vous pouvez améliorer la sécurité de votre application en appliquant des contraintes de mot de passe.

Vous pouvez créer une règle avancée sur les mots de passe qui se compose de n'importe quelle combinaison des cinq caractéristiques suivantes :

  • Verrouillage après plusieurs données d'identification incorrectes
  • Interdiction de réutilisation des mots de passe
  • Expiration du mot de passe
  • Délai minimal entre les changements de mot de passe
  • Vérification du mot de passe pour s'assurer qu'il ne contient pas le nom de l'utilisateur

Lorsque vous activez cette fonction, la facturation des capacités de sécurité avancées est activée. Pour plus d'informations, voir comment App ID calcule la tarification.

Règle : Interdiction de réutilisation des mots de passe

Vous pouvez empêcher vos utilisateurs de créer un mot de passe correspondant à un mot de passe récemment utilisé. S'ils tentent de définir un mot de passe ayant été utilisé récemment, une erreur s'affiche dans l'interface graphique du widget de connexion par défaut et l'utilisateur est invité à entrer une autre option. Ce paramètre vous permet de choisir le nombre de mots de passe requis à partir duquel un utilisateur est autorisé à réutiliser un ancien mot de passe.

Pour définir cette configuration à l'aide de l'interface graphique :

  1. Allez dans l'onglet Cloud Directory > Password policies du tableau de bord App ID.

  2. Faites basculer Règles avancées sur les mots de passe sur Activé.

  3. Spécifiez le Nombre de mots de passe à définir avant de pouvoir réutiliser un mot de passe. Vous pouvez utiliser une valeur entière comprise entre 1 et 8.

  4. Faites basculer l'option Nombre de mots de passe à définir avant de pouvoir réutiliser un mot de passe sur Activé.

  5. Cliquez sur Sauvegarder.

Les anciens mots de passe sont stockés de manière sécurisée de la même manière que le mot de passe actuel de l'utilisateur.

Règle : Verrouillage après plusieurs données d'identification incorrectes

Si vous le souhaitez, vous pouvez protéger les comptes de vos utilisateurs en les empêchant temporairement de se connecter lorsqu'un comportement suspect est détecté, par exemple en cas de tentatives de connexion répétées avec un mot de passe incorrect. Cette mesure peut aider à empêcher un tiers malveillant d'accéder au compte d'un utilisateur en devinant son mot de passe.

Si un compte est verrouillé, les utilisateurs ne peuvent pas se connecter ni effectuer d'autres opérations en libre-service tant que la période de verrouillage spécifiée n'est pas terminée. Lorsque la période de verrouillage est terminée, l'utilisateur est automatiquement déverrouillé.

Pour définir cette configuration à l'aide de l'interface graphique :

  1. Accédez à l'onglet Cloud Directory > Règles sur les mots de passe du tableau de bord App ID.

  2. Faites basculer Règles avancées sur les mots de passe sur Activé.

  3. Spécifiez le Nombre de tentatives de connexion de l'utilisateur avant verrouillage. Vous pouvez utiliser une valeur entière comprise entre 1 et 10.

  4. Spécifiez la Durée de blocage d'un utilisateur ayant tenté de se connecter avec des données d'identification non valides. Cette durée est indiquée en minutes. Vous pouvez utiliser une valeur entière comprise entre 1 et 1440 (24 heures).

  5. Faites basculer la ligne Nombre de tentatives de connexion de l'utilisateur avant verrouillage sur Activé.

  6. Cliquez sur Sauvegarder.

Vous pouvez déverrouiller un utilisateur avant la fin de la période de verrouillage. Pour savoir s'il est déverrouillé, vérifiez si la zone active est définie sur false. Vous pouvez également vérifier que son statut dans l'onglet Utilisateurs du tableau de bord du service est disabled. Pour déverrouiller un utilisateur, vous devez utiliser l'API pour définir la zone active sur true.

Règle : Délai minimal entre les changements de mot de passe

Vous pouvez empêcher vos utilisateurs de changer rapidement de mot de passe en définissant une durée minimale pendant laquelle ils devront attendre entre deux changements.

Cette fonctionnalité est particulièrement utile lorsqu'elle est utilisée avec la règle d'Avoid password reuse. Sans cette limitation, un utilisateur pourrait simplement changer son mot de passe plusieurs fois de suite pour contourner la limitation de réutilisation des mots de passe récents.

Pour définir cette configuration à l'aide de l'interface graphique :

  1. Accédez à l'onglet Cloud Directory > Règles sur les mots de passe du tableau de bord App ID.

  2. Faites basculer Règles avancées sur les mots de passe sur Activé.

  3. Spécifiez le Délai minimal entre les changements de mot de passe. Ce délai est indiqué en heures. Vous pouvez utiliser une valeur entière comprise entre 1 et 720 (30 jours).

  4. Faites basculer le Délai minimal entre les changements de mot de passe sur Activé.

  5. Cliquez sur Sauvegarder.

Règle : Expiration du mot de passe

Pour des raisons de sécurité, vous serez peut-être amené à appliquer une règle de rotation des mots de passe. En fixant une date d'expiration pour le mot de passe de vos utilisateurs, ceux-ci sont obligés de mettre à jour leur mot de passe pour conserver l'accès à votre application. Cela permet de réduire les possibilités de dommages à long terme qui seraient causés à votre application suite à l'utilisation des données d'identification d'un utilisateur. Lorsque leur mot de passe arrive à expiration, vos utilisateurs sont forcés de le réinitialiser à leur prochaine tentative de connexion.

Pour définir cette configuration à l'aide de l'interface graphique :

  1. Accédez à l'onglet Cloud Directory > Règles sur les mots de passe du tableau de bord App ID.

  2. Faites basculer Règles avancées sur les mots de passe sur Activé.

  3. Spécifiez un Délai d'expiration du mot de passe. Ce délai est indiqué en jours. Vous pouvez utiliser une valeur entière comprise entre 1 et 90.

  4. Faites basculer Délai d'expiration du mot de passe sur Activé.

  5. Cliquez sur Sauvegarder.

Lorsque cette option est activée pour la première fois, les mots de passe utilisateur existants n'ont pas de date d'expiration. Pour vous assurer que tous vos utilisateurs sont soumis à la règle de rotation des mots de passe, vous pouvez les encourager à mettre à jour leur mot de passe après avoir configuré cette fonction.

Expérience de connexion personnalisée

Si vous utilisez une expérience de connexion personnalisée, une erreur est déclenchée lorsqu'un utilisateur tente de se connecter avec un mot de passe ayant expiré. Il vous incombe de configurer votre application pour fournir l'expérience utilisateur nécessaire. Vous pouvez appeler l'API de modification du mot de passe pour définir le nouveau mot de passe.

Exemple de réponse du noeud final de jeton :

{
  "error" : "invalid_grant",
  "error_description" : "Password expired",
  "user_id" : "356e065e-49da-45f6-afa3-091a7b464f51"
}

Règle : Vérification du mot de passe pour s'assurer qu'il ne contient pas le nom de l'utilisateur

Pour des mots de passe plus forts, vous envisagerez éventuellement d'empêcher les utilisateurs de créer un mot de passe contenant leur nom d'utilisateur ou la première partie de leur adresse e-mail.

Pour définir cette configuration à l'aide de l'interface graphique :

  1. Accédez à l'onglet Cloud Directory > Règles sur les mots de passe du tableau de bord App ID.

  2. Faites basculer Règles avancées sur les mots de passe sur Activé.

  3. Faites basculer Le mot de passe ne doit pas contenir d'ID utilisateur sur Activé.

  4. Cliquez sur Sauvegarder.

Cette contrainte n'est pas sensible à la casse. Les utilisateurs ne sont pas en mesure de modifier la casse de certains ou de tous les caractères pour utiliser les informations personnelles. Pour configurer cette option, basculez le commutateur sur Activé.