Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Contraseñas, recuperación de contraseñas y políticas de contraseñas
Todos los usuarios que inician sesión en un grupo de usuarios, incluso los usuarios federados, tienen contraseñas asignadas a sus perfiles de usuario. Los usuarios locales y los usuarios vinculados deben proporcionar una contraseña al iniciar sesión. Los usuarios federados no utilizan contraseñas de grupos de usuarios, sino que inician sesión con su proveedor de identidad (IdP). Puede permitir a los usuarios restablecer sus propias contraseñas, restablecer o cambiar las contraseñas como administradores y establecer políticas para la complejidad y el historial de las contraseñas.
Amazon Cognito no almacena las contraseñas de los usuarios en texto sin formato. En su lugar, almacena un hash de la contraseña de cada usuario con una sal específica para cada usuario. Por este motivo, no puede recuperar las contraseñas existentes de los perfiles de usuario de sus grupos de usuarios. Como práctica recomendada, no almacene las contraseñas de usuario de texto simple en ningún lugar. Restablezca las contraseñas cuando los usuarios las olviden.
Restablecimiento y recuperación de contraseñas
Los usuarios olvidan sus contraseñas. Es posible que desee que puedan restablecer su contraseña por sí mismos o que desee solicitar que un administrador restablezca la contraseña por ellos. Los grupos de usuarios de Amazon Cognito tienen opciones para ambos modelos. Esta parte de la guía cubre la configuración del grupo de usuarios y las API operaciones para restablecer la contraseña.
El ForgotPasswordAPIfuncionamiento y la opción de interfaz de usuario alojada ¿Has olvidado tu contraseña? envía a los usuarios un código que, cuando confirmen que tienen el código correcto, les da la oportunidad de establecer una nueva contraseña ConfirmForgotPassword. Se trata del modelo de autoservicio de recuperación de contraseñas.
Las AdminResetUserPasswordAPIoperaciones AdminSetUserPasswordy son los métodos de restablecimiento de contraseñas iniciados por el administrador. AdminSetUserPassword
establece una contraseña temporal o permanente y AdminResetUserPassword
envía a los usuarios un código para restablecer la contraseña de la misma manera que. ForgotPassword
El AccountRecoverySetting
parámetro es el parámetro del grupo de usuarios que establece los métodos que los usuarios pueden usar para recuperar su contraseña cuando llaman a. ForgotPassword
API ForgotPassword
envía un código de recuperación a un correo electrónico o número de teléfono verificados. El código de recuperación es válido durante una hora. Cuando especifica un AccountRecoverySetting
para su grupo de usuarios, Amazon Cognito elige el destino de entrega del código en función de la prioridad establecida.
Cuando se define AccountRecoverySetting
y el usuario lo ha SMS MFA configurado, SMS no se puede utilizar como mecanismo de recuperación de cuentas. La prioridad de esta configuración se determina con un 1, que es la prioridad más alta. Cognito envía una verificación solo a uno de los métodos especificados.
Por ejemplo, admin_only
es un valor que se utiliza cuando el administrador no desea que el usuario recupere la cuenta por sí mismo y, en su lugar, requiere que se ponga en contacto con el administrador para restablecerla. No se puede utilizar admin_only
con ningún otro mecanismo de recuperación de la cuenta.
Si no se especifica AccountRecoverySetting
, Amazon Cognito utiliza el mecanismo heredado para determinar el método de recuperación de la contraseña. En este caso, Cognito utiliza primero un teléfono verificado. Si no se encuentra el teléfono verificado del usuario, Cognito retrocede y utiliza el correo electrónico verificado a continuación.
El MFA método preferido de un usuario influye en los métodos que puede utilizar para recuperar su contraseña. Los usuarios que prefieran MFA enviar un mensaje de correo electrónico no pueden recibir un código de restablecimiento de contraseña por correo electrónico. Los usuarios que prefieran enviar MFA un SMS mensaje no podrán recibir un código de restablecimiento de contraseña antes de. SMS
La configuración de recuperación de contraseñas debe ofrecer una opción alternativa cuando los usuarios no puedan utilizar el método de restablecimiento de contraseña que prefieras. Por ejemplo, tus mecanismos de recuperación pueden tener el correo electrónico como prioridad principal y el correo electrónico MFA puede ser una opción en tu grupo de usuarios. En este caso, añada la recuperación de la cuenta SMS -message como segunda opción o utilice API operaciones administrativas para restablecer las contraseñas de esos usuarios.
Para obtener más información al respectoAccountRecoverySetting
, consulte CreateUserPooly UpdateUserPoolen la referencia de proveedores API de identidad de Amazon Cognito.
Comportamiento de contraseña olvidada
En una hora determinada, permitimos entre 5 y 20 intentos para que un usuario solicite o introduzca un código de restablecimiento de contraseña como parte de una acción relacionada con la contraseña olvidada y otras acciones. confirm-forgot-password El valor exacto depende de los parámetros de riesgo asociados con las solicitudes. Tenga en cuenta que este comportamiento está sujeto a cambios.
Adición de requisitos de contraseña para los grupos de usuarios
Las contraseñas complejas y seguras son una práctica recomendada de seguridad para su grupo de usuarios. Especialmente en las aplicaciones que están abiertas a Internet, las contraseñas poco seguras pueden exponer las credenciales de los usuarios a sistemas que las adivinen e intenten acceder a sus datos. Cuanto más compleja sea una contraseña, más difícil será adivinarla. Amazon Cognito cuenta con herramientas adicionales para los administradores preocupados por la seguridad, como funciones de seguridad avanzadas y la AWS WAF web ACLs, pero su política de contraseñas es un elemento central de la seguridad de su directorio de usuarios.
Las contraseñas de los usuarios locales de los grupos de usuarios de Amazon Cognito no caducan automáticamente. Como práctica recomendada, registre la hora, la fecha y los metadatos del restablecimiento de las contraseñas de los usuarios en un sistema externo. Con un registro externo de la antigüedad de la contraseña, su aplicación o un activador de Lambda pueden buscar la antigüedad de la contraseña de un usuario y requerir que se restablezca después de un período determinado.
Puede configurar su grupo de usuarios para que requiera una complejidad de contraseña mínima que se ajuste a sus estándares de seguridad. Las contraseñas complejas tienen una longitud mínima de ocho caracteres. También incluyen una combinación de caracteres mayúsculas, numéricos y especiales.
Con funciones de seguridad avanzadas, también puede establecer una política para la reutilización de contraseñas. Puede impedir que un usuario restablezca su contraseña por una nueva que coincida con su contraseña actual o por una de las 23 contraseñas anteriores adicionales, para un total máximo de 24.
Para restablecer una política de contraseñas de grupo de usuarios
-
Cree un grupo de usuarios y vaya al paso Configurar los requisitos de seguridad, o acceda a un grupo de usuarios existente y vaya a la pestaña Experiencia de inicio de sesión.
-
Vaya a Política de contraseñas.
-
Seleccione Modo de política de contraseñas. Valores predeterminados de Cognito configura su grupo de usuarios con la configuración mínima recomendada. También puede elegir una política de contraseñas personalizada.
-
Establezca una Longitud mínima de la contraseña. Todos los usuarios deben registrarse o crearse con una contraseña cuya longitud sea mayor o igual a este valor. Puede establecer este valor mínimo en 99, pero sus usuarios pueden establecer contraseñas de hasta 256 caracteres.
-
Configure las reglas de complejidad de las contraseñas en Requisitos de contraseña. Elija los tipos de caracteres (números, caracteres especiales, letras mayúsculas y minúsculas) que desee incluir, uno como mínimo, en la contraseña de cada usuario.
Puede requerir al menos uno de los siguientes caracteres en las contraseñas. Una vez que Amazon Cognito compruebe que las contraseñas contienen el mínimo de caracteres necesario, las contraseñas de los usuarios pueden contener caracteres adicionales de cualquier tipo hasta alcanzar la longitud máxima de la contraseña.
-
Letras del alfabeto latino básico
en mayúsculas y minúsculas -
Números
-
Los siguientes caracteres especiales.
^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + -
-
Caracteres sin espacios al principio ni al final.
-
-
Establezca un valor para Contraseñas temporales establecidas por los administradores que caducan en. Transcurrido este periodo, un nuevo usuario que haya creado en la consola de Amazon Cognito o con
AdminCreateUser
no podrá iniciar sesión ni establecer una contraseña nueva. Después de iniciar sesión con su contraseña temporal, sus cuentas de usuario nunca caducan. Para actualizar la duración de la contraseña en los grupos de usuarios de Amazon CognitoAPI, defina un valor TemporaryPasswordValidityDays en su solicitud CreateUserPoolo UpdateUserPoolAPI. -
Establezca un valor para Impedir el uso de contraseñas anteriores, si está disponible. Para utilizar esta función, active las funciones de seguridad avanzadas en su grupo de usuarios. El valor de este parámetro es el número de contraseñas anteriores con las que se impide que una nueva contraseña coincida cuando un usuario la restablece.
Para restablecer el acceso de una cuenta de usuario caducada, realice una de las siguientes acciones:
-
Elimine el perfil de usuario y cree uno nuevo.
-
Establezca una nueva contraseña permanente en una AdminSetUserPasswordAPIsolicitud.
-
Genera un nuevo código de confirmación en una AdminResetUserPasswordAPIsolicitud.