Política de senha

O Logto aplica a política de senha de diferentes maneiras, dependendo de como a senha é criada ou atualizada:

• Fluxos de usuário final, como a experiência de login pronta para uso, a Experience API e a Account API sempre aplicam a política de senha atual.
• Ações de administrador via Management API patch /api/users/{userId}/password são isentas, permitindo provisionar ou redefinir credenciais sem verificações de política quando necessário.
• Para auditar senhas existentes em relação às regras atuais, chame POST /api/sign-in-exp/default/check-password e aja conforme o resultado da validação retornado. Leia Verificação de conformidade de senha para saber mais.

Configurar política de senha

Para novos usuários ou usuários que estão atualizando sua senha, você pode definir uma política de senha para impor requisitos de força. Acesse o Console > Segurança > Política de senha para configurar as definições da política de senha.

1. Comprimento mínimo da senha: Defina o número mínimo de caracteres exigidos para a senha. (O NIST sugere usar pelo menos 8 caracteres)
2. Tipos mínimos de caracteres exigidos: Defina o número mínimo de tipos de caracteres exigidos para a senha. Os tipos de caracteres disponíveis são:
   1. Letras maiúsculas: (A-Z)
   2. Letras minúsculas: (a-z)
   3. Números: (0-9)
   4. Caracteres especiais: (!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
3. Verificação de histórico de vazamentos: Ative esta configuração para rejeitar senhas que já foram expostas em vazamentos de dados. (Fornecido por Have I Been Pwned)
4. Verificação de repetição: Ative esta configuração para rejeitar senhas que contenham caracteres repetitivos. (ex.: "11111111" ou "password123")
5. Verificação de informações do usuário: Ative esta configuração para rejeitar senhas que contenham informações do usuário, como nome de usuário, endereço de e-mail ou número de telefone.
6. Palavras personalizadas: Forneça uma lista de palavras personalizadas (não diferencia maiúsculas de minúsculas) que você deseja rejeitar na senha.

Verificação de conformidade de senha

Após atualizar a política de senha no Logto, os usuários existentes ainda poderão fazer login com suas senhas atuais. Apenas contas recém-criadas serão obrigadas a seguir a política atualizada.

Para impor uma segurança mais forte, você pode usar a API POST /api/sign-in-exp/default/check-password para verificar se a senha de um usuário atende à política atual definida na experiência de login padrão. Caso não atenda, você pode solicitar ao usuário que atualize sua senha com um fluxo personalizado usando a Account API.

Recursos relacionados

Gerenciar usuários Cadastro e login

Configurações de conta pela Account API

Desenhe sua política de senha