Senhas, recuperação de contas e políticas de senha - Amazon Cognito
Redefinição e recuperação de senhaRequisitos de senha

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Senhas, recuperação de contas e políticas de senha

Todos os usuários que fazem login em um grupo de usuários, até mesmo usuários federados, têm senhas atribuídas aos seus perfis de usuário. Usuários locais e usuários vinculados devem inserir uma senha ao fazerem login. Os usuários federados não usam senhas de grupos de usuários, mas fazem login usando o provedor de identidades (IdP). Você pode permitir que os usuários redefinam suas próprias senhas, redefinam ou alterem senhas como administrador e definam políticas para complexidade e histórico de senhas.

O Amazon Cognito não armazena senhas de usuários em texto simples. Em vez disso, ele armazena um hash da senha de cada usuário com um salt específico do usuário. Por esse motivo, você não pode recuperar senhas existentes dos perfis de usuário em seus grupos de usuários. Como prática recomendada, não armazene senhas de usuário em texto simples em nenhum lugar. Redefina as senhas quando os usuários as esquecerem.

Redefinição e recuperação de senha

Os usuários esquecem suas senhas. Você pode permitir que eles mesmos as redefinam, ou exigir que um administrador redefina a senha para eles. Os grupos de usuários do Amazon Cognito têm opções para os dois modelos. Esta parte do guia aborda as configurações do grupo de usuários e as operações de API para redefinição de senha.

A operação de API ForgotPassword e a opção Esqueceu sua senha? do login gerenciado envia aos usuários um código que, quando eles confirmam que têm o código correto, possibilita definir uma nova senha com ConfirmForgotPassword. Esse é o modelo de recuperação de senha por autoatendimento.

Recuperação de usuários não verificados

É possível enviar mensagens de recuperação para usuários que verificaram seu endereço de e-mail ou número de telefone. Se eles não tiverem um e-mail ou telefone de recuperação confirmado, um administrador do grupo de usuários poderá marcar o endereço de e-mail ou número de telefone como verificado. Edite os Atributos de usuário do usuário no console do Amazon Cognito e marque a caixa de seleção ao lado de Marcar número de telefone como verificado ou Marcar endereço de e-mail como verificado. Você também pode definir email_verified ou phone_number_verified como true em uma solicitação AdminUpdateUserAttributes. Para novos usuários, a operação de API ResendConfirmationCode envia um novo código para o endereço de e-mail ou número de telefone e eles podem concluir a confirmação e a verificação por autoatendimento.

Redefinir senhas como administrador

As operações da API AdminSetUserPassword e AdminResetUserPassword são os métodos de redefinição de senha iniciados pelo administrador. AdminSetUserPassword define uma senha temporária ou permanente, e AdminResetUserPassword envia aos usuários um código de redefinição de senha da mesma forma que ForgotPassword.

Configurar redefinição e recuperação de senha

O Amazon Cognito seleciona automaticamente suas opções de recuperação de conta com base nos atributos e opções de login obrigatórios escolhidos ao criar um grupo de usuários no console. Você pode modificar essas configurações padrão.

O método de MFA preferido de um usuário influencia os métodos que ele pode usar para recuperar a senha. Os usuários cujo MFA preferencial é por mensagem de e-mail não podem receber um código de redefinição de senha por e-mail. Os usuários cujo MFA preferencial é por mensagem SMS não podem receber um código de redefinição de senha por SMS.

Suas configurações de recuperação de senha devem fornecer uma opção alternativa quando os usuários não estão qualificados para usar o método de redefinição de senha de sua preferência. Por exemplo, seus mecanismos de recuperação podem ter o e-mail como prioridade e o MFA do e-mail pode ser opcional no seu grupo de usuários. Nesse caso, adicione a recuperação da conta de mensagens SMS como uma segunda opção ou use operações administrativas da API para redefinir as senhas desses usuários.

O Amazon Cognito responde às solicitações de redefinição de senha de usuários que não têm um método de recuperação válido com uma resposta de erro InvalidParameterException.

nota

Os usuários não podem receber códigos de redefinição de senha e de MFA no mesmo endereço de e-mail ou número de telefone. Se usarem senhas de uso único (OTPs) enviadas por e-mail para MFA, deverão usar mensagens SMS para recuperação da conta. Se usarem OTPs enviadas por SMS para MFA, deverão usar mensagens de e-mail para recuperação da conta. Em grupos de usuários com MFA, os usuários podem não conseguir concluir a recuperação de senha por autoatendimento se tiverem o endereço de e-mail cadastrado, mas não o número de telefone, ou vice-versa.

Para evitar que os usuários não consigam redefinir suas senhas em grupos de usuários com essa configuração, defina os atributos email e phone_number como obrigatórios. Como alternativa, é possível configurar processos que sempre coletam e definem esses atributos quando os usuários se cadastram ou quando seus administradores criam perfis de usuário. Quando os usuários possuem ambos os atributos, o Amazon Cognito envia automaticamente códigos de redefinição de senha para o destino que não é o fator de MFA do usuário.

O procedimento a seguir configura a recuperação de contas de autoatendimento em um grupo de usuários.

Configure self-service password reset (API/SDK)

O parâmetro AccountRecoverySetting do grupo de usuários define os métodos que os usuários podem usar para recuperar a senha em solicitações de API ForgotPassword ou quando selecionam Esqueceu a senha? no login gerenciado. ForgotPassword envia um código de recuperação para um e-mail ou número de telefone verificado. O código de recuperação é válido por uma hora. Quando você especifica um AccountRecoverySetting para o grupo de usuários, o Amazon Cognito escolhe o destino de entrega do código com base na prioridade definida por você.

Quando você define AccountRecoverySetting e um usuário tem o MFA SMS configurado, o SMS não pode ser usado como um mecanismo de recuperação de conta. A prioridade dessa configuração é determinada com 1 sendo da prioridade mais alta. O Amazon Cognito envia uma verificação para apenas um dos métodos especificados. O exemplo de AccountRecoverySetting a seguir define endereços de e-mail como o destino principal dos códigos de recuperação de conta, recorrendo à mensagem SMS se o usuário não tiver um endereço de e-mail cadastrado.

"AccountRecoverySetting": { 
   "RecoveryMechanisms": [ 
      { 
         "Name": "verified_email",
         "Priority": 1
      },
      { 
         "Name": "verified_phone_number",
         "Priority": 2
      }
   ]
}

O valor admin_only desativa a recuperação de contas de autoatendimento, exigindo que os usuários entrem em contato com o administrador para redefinir a senha. Você não pode usar admin_only com nenhum outro mecanismo de recuperação de conta. O seguinte exemplo…

"AccountRecoverySetting": { 
   "RecoveryMechanisms": [ 
      { 
         "Name": "admin_only",
         "Priority": 1
      }
   ]
}

Se você não especificar AccountRecoverySetting, o Amazon Cognito enviará o código de recuperação primeiro para um número de telefone verificado e, se o usuário não tiver um número de telefone cadastrado, para um endereço de e-mail verificado.

Para obter mais informações sobre AccountRecoverySetting, consulte CreateUserPool e UpdateUserPool.

Configure self-service password reset (console)

Configure as opções de recuperação de conta e redefinição de senha no menu Fazer login do seu grupo de usuários.

Como configurar a recuperação da conta de usuário

  1. Faça login no console do Amazon Cognito.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Clique no menu Fazer login. Localize Recuperação de contas de usuários e clique em Editar

  5. Para permitir que os usuários redefinam suas próprias senhas, selecione Habilitar recuperação de contas de autoatendimento.

  6. Configure o método de entrega dos códigos de recuperação de senha que seu grupo de usuários envia aos usuários. Em Método de entrega para mensagens de recuperação de conta de usuário, selecione uma opção disponível. Como prática recomendada, escolha uma opção que tenha um método secundário para enviar mensagens, por exemplo, E-mail se disponível, ou SMS. Com um método de entrega secundário, o Amazon Cognito pode enviar códigos aos usuários de forma que eles precisem usar um meio diferente para redefinição de senha e para MFA.

  7. Selecione Salvar alterações.

Comportamento para esquecimento da senha

Em uma determinada hora, permitimos entre 5 e 20 tentativas para um usuário solicitar ou inserir um código de redefinição de senha como parte das ações forgot-password e confirm-forgot-password. O valor exato depende dos parâmetros de risco associados às solicitações. Observe que esse comportamento está sujeito a alterações.

Como adicionar requisitos de senha do grupo de usuários

Senhas fortes e complexas são a prática recomendada de segurança para seu grupo de usuários. Especialmente em aplicações abertas à Internet, senhas fracas podem expor as credenciais dos usuários a sistemas que adivinham senhas e tentam acessar seus dados. Quanto mais complexa for uma senha, mais difícil será adivinhá-la. O Amazon Cognito tem ferramentas adicionais para administradores que se preocupam com a segurança, como proteção contra ameaças e ACLs da web do AWS WAF, mas sua política de senha é um elemento importante da segurança do diretório de usuários.

As senhas para usuários locais nos grupos de usuários do Amazon Cognito não expiram automaticamente. Como prática recomendada, registre a hora, a data e os metadados das redefinições de senha do usuário em um sistema externo. Com um log externo de tempo da senha, sua aplicação ou um acionador do Lambda pode pesquisar o tempo da senha de um usuário e exigir uma redefinição após determinado período.

Você pode configurar o grupo de usuários para exigir uma complexidade mínima de senha que esteja de acordo com seus padrões de segurança. Senhas complexas têm no mínimo oito caracteres. Eles também incluem uma combinação de caracteres maiúsculos, numéricos e especiais.

Com os níveis de recursos Essentials ou Plus, é possível definir uma política de reutilização de senha. Você pode impedir que um usuário redefina sua senha para uma nova senha que corresponda à senha atual ou a qualquer uma das 23 senhas anteriores adicionais, totalizando no máximo 24.

Como definir uma política do grupo de usuários

  1. Crie um grupo de usuários e navegue até a etapa Configurar requisitos de segurança ou acesse um grupo de usuários existente e navegue até o menu Métodos de autenticação.

  2. Navegue até Política de senha.

  3. Escolha um Modo de política de senha. Os Padrões do Cognito configuram o grupo de usuários com as configurações mínimas recomendadas. Também é possível escolher uma política de senha Personalizada.

  4. Defina um Tamanho mínimo de senha. Todos os usuários devem se cadastrar ou serem criados com uma senha com tamanho maior ou igual a esse valor. É possível definir esse valor mínimo de até 99, mas os usuários podem definir senhas com até 256 caracteres.

  5. Configure as regras de complexidade de senhas em Requisitos de senha. Escolha os tipos de caracteres: números, caracteres especiais, letras maiúsculas e minúsculas, dos quais você deseja exigir pelo menos um na senha de cada usuário.

    Você pode exigir que as senhas contenham pelo menos um dos seguintes caracteres: Depois que o Amazon Cognito verificar se as senhas contêm os caracteres mínimos necessários, as senhas de seus usuários podem conter caracteres adicionais de qualquer tipo até atingir o tamanho máximo.

    • Letras maiúsculas e minúsculas do latim básico

    • Números

    • Os caracteres especiais a seguir.

      ^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + -

    • Caracteres de espaço não iniciais e não finais.

  6. Defina um valor para Senhas temporárias definidas por administradores expiram em. Após esse período, um novo usuário criado no console do Amazon Cognito com AdminCreateUser não poderá fazer login e definir uma nova senha. Depois de fazerem login com a senha temporária, as contas de usuário nunca expirarão. Para atualizar a duração da senha na API de grupos de usuários do Amazon Cognito, defina um valor para TemporaryPasswordValidityDays na solicitação de API CreateUserPool ou UpdateUserPool.

  7. Defina um valor para Impedir o uso de senhas anteriores, se disponível. Para usar esse recurso, selecione o nível de recursos Essentials ou Plus em seu grupo de usuários. O valor desse parâmetro é o número de senhas anteriores que uma nova senha é impedida de corresponder quando o usuário redefine a senha.

Para redefinir o acesso de uma conta de usuário expirada, siga um destes procedimentos:

  • Envie uma nova senha temporária e redefina o período de expiração com uma solicitação de API AdminCreateUser com MessageAction definido como RESEND.

  • Exclua o perfil de usuário e crie outro.

  • Gere um novo código de confirmação em uma solicitação da API AdminResetUserPassword.