Política de contraseñas
Logto aplica la política de contraseñas de diferentes maneras dependiendo de cómo se crea o actualiza la contraseña:
- Los flujos de usuario final como la experiencia de inicio de sesión lista para usar, la Experience API y la Account API siempre aplican la política de contraseñas actual.
- Las acciones de administrador a través de la Management API
patch /api/users/{userId}/passwordestán exentas, lo que te permite aprovisionar o restablecer credenciales sin comprobaciones de la política cuando sea necesario. - Para auditar contraseñas existentes según las reglas actuales, llama a
POST /api/sign-in-exp/default/check-passwordy actúa según el resultado de la validación devuelto. Lee Comprobación de cumplimiento de contraseñas para obtener más información.
Configurar la política de contraseñas
Para nuevos usuarios o usuarios que están actualizando su contraseña, puedes establecer una política de contraseñas para exigir requisitos de fortaleza. Visita Consola > Seguridad > Política de contraseñas para configurar los ajustes de la política de contraseñas.
- Longitud mínima de la contraseña: Establece el número mínimo de caracteres requeridos para la contraseña. (NIST sugiere usar al menos 8 caracteres)
- Tipos mínimos de caracteres requeridos: Establece el número mínimo de tipos de caracteres requeridos para la contraseña. Los tipos de caracteres disponibles son:
- Letras mayúsculas:
(A-Z) - Letras minúsculas:
(a-z) - Números:
(0-9) - Caracteres especiales:
(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
- Letras mayúsculas:
- Comprobación de historial de brechas: Activa esta opción para rechazar contraseñas que hayan sido expuestas previamente en brechas de datos. (Impulsado por Have I Been Pwned)
- Comprobación de repetición: Activa esta opción para rechazar contraseñas que contengan caracteres repetitivos. (por ejemplo, "11111111" o "password123")
- Comprobación de información del usuario: Activa esta opción para rechazar contraseñas que contengan información del usuario como nombre de usuario, dirección de correo electrónico o número de teléfono.
- Palabras personalizadas: Proporciona una lista de palabras personalizadas (no distingue mayúsculas de minúsculas) que deseas rechazar en la contraseña.
Comprobación de cumplimiento de contraseñas
Después de actualizar la política de contraseñas en Logto, los usuarios existentes aún pueden iniciar sesión con sus contraseñas actuales. Solo las cuentas recién creadas deberán seguir la política actualizada.
Para aplicar una seguridad más fuerte, puedes usar la API POST /api/sign-in-exp/default/check-password para comprobar si la contraseña de un usuario cumple con la política actual definida en la experiencia de inicio de sesión predeterminada. Si no la cumple, puedes solicitar al usuario que actualice su contraseña con un flujo personalizado usando la Account API.
Recursos relacionados
Gestionar usuarios Registro e inicio de sesiónConfiguración de cuenta por Account API
Diseña tu política de contraseñas