Definizione delle politiche della password

Le politiche di password, quali i requisiti di complessità, ti aiutano a implementare delle applicazioni più sicure. Definendo delle politiche avanzate, puoi definire le regole a cui un utente deve conformarsi quando imposta la sua password o prova ad accedere alla tua applicazione. Ad esempio, puoi impostare il numero di tentativi di accesso che un utente può eseguire prima che il suo account venga bloccato.

Politica: Complessità della password

Una password complessa rende difficile o persino improbabile, che qualcuno la indovini in modo manuale o automatizzato. Per impostare i requisiti per la complessità di una password dell'utente, puoi utilizzare la seguente procedura.

Per impostare questa configurazione utilizzando la GUI:

  1. Vai alla scheda Cloud Directory > Password policies del dashboard App ID.

  2. Nella casella Define password strength, fai clic su Edit. Viene aperta una schermata.

  3. Immetti una stringa regex valida nella casella Password strength.

    Esempi:

    • Deve essere di almeno 8 caratteri. (^.{8,}$)
    • Deve contenere un numero, una lettera minuscola e una lettera maiuscola. (^(?:(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).*)$)
    • Deve contenere solo lettere e numeri inglesi. (^[A-Za-z0-9]*$)
    • Deve avere almeno un carattere univoco. (^(\w)\w*?(?!\1)\w+$)

  4. Fare clic su Salva.

La forza della password può essere impostata nella pagina delle impostazioni di Cloud Directory nella dashboard di App ID, oppure utilizzando le API di gestione.

Impostazione di un messaggio di errore personalizzato

Se imposti la tua politica regex della password e un utente sceglie una password che non soddisfa i tuoi requisiti, il messaggio predefinito è The password doesn't meet the strength requirements. Puoi anche scegliere di impostare il tuo proprio messaggio utilizzando l'endpoint /management/v4/<tenantId>/config/cloud_directory/password_regex.

Politiche della password avanzate

Puoi migliorare la sicurezza della tua applicazione mediante l'applicazione di vincoli della password.

Puoi creare una politica della password avanzata che consiste in qualsiasi combinazione delle seguenti cinque funzioni:

  • Blocco dopo la ripetizione di credenziali non corrette
  • Evitare il riutilizzo della password
  • Scadenza password
  • Periodo minimo tra le modifiche alla password
  • Assicurati che la password non includa il nome utente

Quando si abilita questa funzione, viene attivata la fatturazione delle funzionalità di sicurezza avanzate. Per ulteriori informazioni, vedi Come calcola i prezzi App ID.

Politica: Evitare il riutilizzo della password

Potresti voler impedire ai tuoi utenti di scegliere una password utilizzata di recente quando provano a crearne una nuova. Se prova a impostare la sua password su una password utilizzata di recente, viene visualizzato un errore nella GUI del Widget di accesso predefinita e gli viene richiesto di immettere un'altra opzione. Questa impostazione ti consente di scegliere il numero di password che un utente deve avere prima di poter ripetere una password utilizzata precedentemente.

Per impostare questa configurazione utilizzando la GUI:

  1. Accedere alla scheda Cloud Directory > Criteri di password della dashboard App ID.

  2. Modifica Advanced password policy e impostala su Enabled.

  3. Specifica il numero di volte per cui una password non può essere ripetuta (The number of times that a password can't be repeated). È possibile utilizzare qualsiasi valore intero nell'intervallo 1-8.

  4. Modifica The number of times that a password can't be repeated su Enabled.

  5. Fare clic su Salva.

Le password precedenti sono memorizzate in modo sicuro nello stesso modo in cui viene memorizzata la password corrente di un utente.

Politica: Blocco dopo la ripetizione di credenziali non corrette

Potresti voler proteggere gli account dei tuoi utenti bloccando temporaneamente la capacità di accedere quando viene rilevato un comportamento sospetto, come ad esempio più tentativi di accesso consecutivi con una password non corretta. Questa misura può aiutare ad evitare che dei malintenzionati ottengano l'accesso all'account di un utente indovinandone la password.

Se un account viene bloccato, gli utenti non possono accedere o completare altre operazioni self-service finché non trascorre il periodo di blocco specificato. Quando termina il periodo di blocco, l'utente viene sbloccato automaticamente.

Per impostare questa configurazione utilizzando la GUI:

  1. Vai alla scheda Cloud Directory > Password policies del dashboard App ID.

  2. Modifica Advanced password policy e impostala su Enabled.

  3. Specifica il numero di volte per cui un utente può provare a eseguire l'accesso prima di essere bloccato (The number of times a user can try to sign in before getting locked out). Puoi utilizzare qualsiasi valore intero compreso nell'intervallo 1 - 10.

  4. Specifica il tempo per cui un utente sarà bloccato dopo aver provato a eseguire l'accesso con le credenziali errate (The time a user will be locked out after trying to sign in with wrong credentials). Il tempo è specificato in minuti. Puoi utilizzare qualsiasi valore intero nell'intervallo 1 - 1440 (24 ore).

  5. Modifica la riga The number of times a user can try to sign in before getting locked out su Enabled.

  6. Fare clic su Salva.

Puoi sbloccare un utente prima del termine del periodo di blocco. Per vedere se gli utenti sono bloccati, controlla se il campo active è impostato su false. Puoi anche controllare se il loro stato sulla scheda Users del dashboard del servizio è impostato su disabled. Per sbloccare un utente, devi utilizzare l'API per impostare il campo active su true.

Politica: Periodo minimo tra le modifiche alla password

Potresti voler impedire ai tuoi utenti di modificare velocemente le password impostando un periodo minimo di tempo in cui un utente deve attendere tra le modifiche alla password.

Questa funzione è particolarmente utile quando viene utilizzata con la politica Avoid password reuse. Senza questa limitazione, un utente potrebbe semplicemente modificare la propria password più volte in rapida successione in modo da eludere la limitazione di riutilizzo delle password recenti.

Per impostare questa configurazione utilizzando la GUI:

  1. Vai alla scheda Cloud Directory > Password policies del dashboard App ID.

  2. Modifica Advanced password policy e impostala su Enabled.

  3. Specifica il tempo minimo tra le modifiche della password (The minimum time between password changes). Il tempo è specificato in ore. Puoi utilizzare qualsiasi valore intero compreso nell'intervallo 1 - 720 (30 giorni).

  4. Modifica The minimum time between password changes e impostala su Enabled.

  5. Fare clic su Salva.

Politica: Scadenza della password

Per motivi di sicurezza, potresti voler implementare una politica di rotazione delle password. Impostando una scadenza per la password degli utenti, questi sono costretti ad aggiornare la loro password per mantenere l'accesso alla vostra applicazione. Questo riduce la possibilità che le credenziali di un utente possano causare dei danni a lungo termine alla tua applicazione. Quando la loro password scade, i tuoi utenti sono costretti a reimpostarla al loro successivo tentativo di accesso.

Per impostare questa configurazione utilizzando la GUI:

  1. Vai alla scheda Cloud Directory > Password policies del dashboard App ID.

  2. Modifica Advanced password policy e impostala su Enabled.

  3. Specifica un tempo di scadenza della password (Password expiration time). Il tempo è specificato in giorni. Puoi utilizzare qualsiasi valore intero compreso nell'intervallo 1 - 90.

  4. Modifica Password expiration time su Enabled.

  5. Fare clic su Salva.

Quando questa opzione viene attivata per la prima volta, tutte le password utente esistenti non hanno una data di scadenza. Per garantire che tutti gli utenti siano limitati dal criterio di rotazione delle password, si potrebbe incoraggiare gli utenti ad aggiornare la propria password dopo aver configurato questa funzione.

Esperienza di accesso personalizzata

Se stai utilizzando un'esperienza di accesso personalizzata, viene attivato un errore quando un utente tenta di accedere con una password scaduta. È tua responsabilità configurare la tua applicazione in modo da fornire l'esperienza utente necessaria. Puoi richiamare l'API di modifica della password per impostare la nuova password.

La risposta endpoint del token è simile alla seguente:

{
  "error" : "invalid_grant",
  "error_description" : "Password expired",
  "user_id" : "356e065e-49da-45f6-afa3-091a7b464f51"
}

Politica: Assicurati che la password non includa il nome utente

Per delle password più complesse, potresti voler impedire agli utenti di creare una password che contiene il loro nome utente o la prima parte del loro indirizzo email.

Per impostare questa configurazione utilizzando la GUI:

  1. Vai alla scheda Cloud Directory > Password policies del dashboard App ID.

  2. Modifica Advanced password policy e impostala su Enabled.

  3. Modifica Password should not contain user ID su Enabled.

  4. Fare clic su Salva.

Questo vincolo non è sensibile a maiuscole/minuscole. Gli utenti non sono in grado di modificare il caso di alcuni o tutti i caratteri per utilizzare le informazioni personali. Per configurare questa opzione, imposta lo switch su on.