密码、密码恢复和密码策略
所有登录到用户池的用户(甚至是联合用户)都为其用户配置文件分配了密码。本地用户和关联用户在登录时必须提供密码。联合用户不使用用户池密码,而是使用其身份提供者(IdP)登录。您可以允许用户自行重置密码、以管理员身份重置或更改密码,以及设置密码复杂度和历史策略。
Amazon Cognito 不以明文形式存储用户密码。而是通过用户特定的加密盐来存储每个用户密码的哈希值。因此,您无法从用户池中的用户配置文件检索现有密码。作为一项最佳实践,请不要在任何地方存储明文用户密码。当用户忘记密码时,执行密码重置。
密码重置和恢复
用户忘记了自己的密码。您可能希望他们能够自己重置密码,或者您可能希望由管理员为他们重置密码。Amazon Cognito 用户池有这两种模式的选项。指南的这一部分介绍用户池设置和用于密码重置的 API 操作。
ForgotPassword API 操作和托管 UI 选项忘记密码?向用户发送验证码,当用户确认收到验证码后,他们可以使用 ConfirmForgotPassword 设置新密码。这是自助式密码恢复模式。
AdminSetUserPassword 和 AdminResetUserPassword API 操作是管理员发起的密码重置方法。AdminSetUserPassword 设置临时或永久密码,AdminResetUserPassword 按照与 ForgotPassword 相同的方式向用户发送密码重置验证码。
AccountRecoverySetting 参数是一个用户池参数,用户可以通过该参数设置在用户调用 ForgotPassword API 时可用于恢复其密码的方法。ForgotPassword 会将恢复码发送到已验证的电子邮件或已验证的电话号码。恢复代码的有效期为 1 小时。当您为用户池指定 AccountRecoverySetting 时,Amazon Cognito 会根据您设置的优先级选择代码发送目标。
当您定义 AccountRecoverySetting 并且用户配置了 SMS MFA 时,不能将 SMS 用作账户恢复机制。此设置的优先级已确定,其中 1 为最高优先级。Cognito 仅向指定方法之一发送验证。
例如,当管理员不希望用户自行恢复账户时,可以使用值 admin_only,这会改为要求用户联系管理员来重置账户。您不能将 admin_only 与任何其他账户恢复机制一起使用。
如果您未指定 AccountRecoverySetting,Amazon Cognito 会使用旧机制来确定恢复密码的方法。在这种情况下,Cognito 首先使用经验证手机。如果找不到用户的经验证手机,Cognito 会退回,接下来使用经验证电子邮件地址。
用户首选 MFA 方法会影响他们可用于恢复密码的方法。首选 MFA 方式为电子邮件的用户无法通过电子邮件接收密码重置代码。首选 MFA 方式为短信的用户无法通过短信接收密码重置代码。
当用户不符合条件,无法使用首选密码重置方法时,您的密码恢复设置必须提供替代选项。例如,您的恢复机制可能将电子邮件列为第一优先选项,而电子邮件 MFA 可能是您的用户池中的一个选项。在这种情况下,添加短信消息账户恢复作为第二个选项,或者使用管理 API 操作为这些用户重置密码。
有关 AccountRecoverySetting 的更多信息,请参阅《Amazon Cognito 身份提供商 API 参考》中的 CreateUserPool 和 UpdateUserPool。
忘记密码行为
我们允许用户在 1 小时内进行 5 到 20 次的密码重置代码请求或输入尝试,作为忘记密码和确认忘记密码操作的一部分。确切的值取决于与请求关联的风险参数。请注意,这种行为可能会发生变化。
添加用户池密码要求
作为用户池的最佳安全实践,应该设置强大、复杂的密码。特别是在对互联网开放的应用程序中,弱密码会将用户的凭证暴露给会猜测密码并尝试访问您的数据的系统。密码越复杂,就越难猜出。Amazon Cognito 为注重安全的管理员提供了额外工具(例如高级安全特征和 AWS WAF Web ACL),但密码策略仍然是确保用户目录安全的核心因素。
Amazon Cognito 用户池中本地用户的密码不会自动过期。妥善的做法是在外部系统中记录用户密码重置的时间、日期和元数据。通过记录密码使用期限的外部日志,您的应用程序或 Lambda 触发器可以查找用户的密码使用期限,并在给定时间后要求重置。
您可以将用户池配置为要求密码具有最低复杂性,以符合您的安全标准。复杂密码的最小长度为至少八个字符。还必须包括大写字母、数字和特殊字符的组合。
借助高级安全特征,您还可以设置密码重用策略。您可以阻止用户将其新密码重置为与其当前密码相同,也不得与最多 23 个以前的其他密码中的任何一个相同,即用户不能将新密码设置为这 24 个密码中的任何一个。
设置用户池密码策略
-
创建一个用户池并导航到配置安全要求步骤,或访问现有用户池并导航到登录体验选项卡。
-
导航到密码策略。
-
选择密码策略模式。Cognito 默认使用推荐的最低设置来配置您的用户池。您也可以选择一项自定义密码策略。
-
设置密码最小长度。所有用户都必须使用长度大于或等于这个值的密码进行注册或创建。您可以将这个最小值设置为 99,但用户可以设置最长 256 个字符的密码。
-
在密码要求下配置密码的复杂性规则。选择您希望在每个用户的密码中至少包含一个的字符类型(数字、特殊字符、大写字母和小写字母)。
可以要求密码中至少包含以下字符之一:在 Amazon Cognito 确认密码中包含所需的最少字符后,用户的密码可以包含任何类型的额外字符,但不得超过最大密码长度。
-
大写和小写基本拉丁
字母 -
数字
-
以下特殊字符。
^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + - -
非前导、非结尾的空格字符。
-
-
为管理员设置的临时密码到期时间设置一个值。超过此期限,您通过 Amazon Cognito 控制台或
AdminCreateUser创建的新用户将无法登录和设置新密码。使用临时密码登录后,他们的用户账户永远不会过期。要在 Amazon Cognito 用户池 API 中更新密码持续时间,请在您的 CreateUserPool 或 UpdateUserPool API 请求中为 TemporaryPasswordValidityDays 设置一个值。 -
为防止使用之前的密码设置一个值(如果有)。要使用此特征,请在用户池中激活高级安全特征。此参数的值是在用户重置密码时阻止新密码匹配的先前密码数。
要重置已过期用户账户的访问权限,请执行以下操作之一:
-
删除用户配置文件并创建新的用户配置文件。
-
在 AdminSetUserPassword API 请求中设置新的永久密码。
-
在 AdminResetUserPassword API 请求中生成新的确认码。
