Politique de mot de passe

Logto applique la politique de mot de passe de différentes manières selon la façon dont le mot de passe est créé ou mis à jour :

• Les flux utilisateur finaux tels que l'expérience de connexion prête à l'emploi, l’Experience API et l’Account API appliquent toujours la politique de mot de passe actuelle.
• Les actions administrateur via la Management API patch /api/users/{userId}/password sont exemptées, ce qui vous permet de provisionner ou de réinitialiser des identifiants sans vérification de la politique si nécessaire.
• Pour auditer les mots de passe existants selon les règles actuelles, appelez POST /api/sign-in-exp/default/check-password et agissez selon le résultat de validation retourné. Lisez Vérification de la conformité du mot de passe pour en savoir plus.

Configurer la politique de mot de passe

Pour les nouveaux utilisateurs ou ceux qui mettent à jour leur mot de passe, vous pouvez définir une politique de mot de passe afin d’imposer des exigences de robustesse. Rendez-vous dans le Console > Sécurité > Politique de mot de passe pour configurer les paramètres de la politique.

1. Longueur minimale du mot de passe : Définissez le nombre minimal de caractères requis pour le mot de passe. (Le NIST recommande d'utiliser au moins 8 caractères)
2. Nombre minimal de types de caractères requis : Définissez le nombre minimal de types de caractères requis pour le mot de passe. Les types de caractères disponibles sont :
   1. Lettres majuscules : (A-Z)
   2. Lettres minuscules : (a-z)
   3. Chiffres : (0-9)
   4. Caractères spéciaux : (!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
3. Vérification de l’historique de violation : Activez ce paramètre pour rejeter les mots de passe ayant déjà été exposés lors de violations de données. (Propulsé par Have I Been Pwned)
4. Vérification de répétition : Activez ce paramètre pour rejeter les mots de passe contenant des caractères répétitifs. (ex. : "11111111" ou "password123")
5. Vérification des informations utilisateur : Activez ce paramètre pour rejeter les mots de passe contenant des informations utilisateur telles que le nom d'utilisateur, l'adresse e-mail ou le numéro de téléphone.
6. Mots personnalisés : Fournissez une liste de mots personnalisés (insensibles à la casse) que vous souhaitez rejeter dans le mot de passe.

Vérification de la conformité du mot de passe

Après avoir mis à jour la politique de mot de passe dans Logto, les utilisateurs existants peuvent toujours se connecter avec leur mot de passe actuel. Seuls les nouveaux comptes créés devront respecter la politique mise à jour.

Pour renforcer la sécurité, vous pouvez utiliser l’API POST /api/sign-in-exp/default/check-password API pour vérifier si le mot de passe d’un utilisateur respecte la politique actuelle définie dans l'expérience de connexion par défaut. Si ce n’est pas le cas, vous pouvez inviter l’utilisateur à mettre à jour son mot de passe via un flux personnalisé utilisant l’Account API.

Ressources associées

Gérer les utilisateurs Inscription et connexion

Paramètres du compte via Account API

Concevoir votre politique de mot de passe