Saltar al contenido principal

Política de contraseñas

Configurar la política de contraseñas

Para nuevos usuarios o usuarios que están actualizando su contraseña, puedes establecer una política de contraseñas para hacer cumplir los requisitos de fortaleza de la contraseña. Visita Consola > Seguridad > Política de contraseñas para configurar los ajustes de la política de contraseñas.

  1. Longitud mínima de la contraseña: Establece el número mínimo de caracteres requeridos para la contraseña. (NIST sugiere usar al menos 8 caracteres)
  2. Tipos mínimos de caracteres requeridos: Establece el número mínimo de tipos de caracteres requeridos para la contraseña. Los tipos de caracteres disponibles son:
    1. Letras mayúsculas: (A-Z)
    2. Letras minúsculas: (a-z)
    3. Números: (0-9)
    4. Caracteres especiales: (!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
  3. Verificación de historial de brechas: Activa esta opción para rechazar contraseñas que hayan sido expuestas previamente en filtraciones de datos. (Impulsado por Have I Been Pwned)
  4. Verificación de repetición: Activa esta opción para rechazar contraseñas que contengan caracteres repetitivos. (por ejemplo, "11111111" o "password123")
  5. Verificación de información del usuario: Activa esta opción para rechazar contraseñas que contengan información del usuario como nombre de usuario, dirección de correo electrónico o número de teléfono.
  6. Palabras personalizadas: Proporciona una lista de palabras personalizadas (no distingue mayúsculas de minúsculas) que deseas rechazar en la contraseña.

Verificación de cumplimiento de la contraseña

Después de actualizar la política de contraseñas en Logto, los usuarios existentes aún podrán iniciar sesión con sus contraseñas actuales. Solo las cuentas creadas recientemente deberán seguir la política actualizada.

Para aplicar una seguridad más fuerte, puedes usar el POST /api/sign-in-exp/default/check-password API para comprobar si la contraseña de un usuario cumple con la política actual definida en la experiencia de inicio de sesión predeterminada. Si no la cumple, puedes solicitar al usuario que actualice su contraseña con un flujo personalizado usando Account API.

Diseña tu política de contraseñas