Aller au contenu principal

Politique de mot de passe

Configurer la politique de mot de passe

Pour les nouveaux utilisateurs ou les utilisateurs qui mettent à jour leur mot de passe, vous pouvez définir une politique de mot de passe afin d'appliquer des exigences de robustesse. Rendez-vous dans le Console > Sécurité > Politique de mot de passe pour configurer les paramètres de la politique de mot de passe.

  1. Longueur minimale du mot de passe : Définissez le nombre minimal de caractères requis pour le mot de passe. (Le NIST recommande d'utiliser au moins 8 caractères)
  2. Nombre minimal de types de caractères requis : Définissez le nombre minimal de types de caractères requis pour le mot de passe. Les types de caractères disponibles sont :
    1. Lettres majuscules : (A-Z)
    2. Lettres minuscules : (a-z)
    3. Chiffres : (0-9)
    4. Caractères spéciaux : (!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
  3. Vérification de l'historique des violations : Activez ce paramètre pour rejeter les mots de passe ayant déjà été exposés lors de violations de données. (Propulsé par Have I Been Pwned)
  4. Vérification des répétitions : Activez ce paramètre pour rejeter les mots de passe contenant des caractères répétitifs. (ex. : "11111111" ou "password123")
  5. Vérification des informations utilisateur : Activez ce paramètre pour rejeter les mots de passe contenant des informations utilisateur telles que le nom d'utilisateur, l'adresse e-mail ou le numéro de téléphone.
  6. Mots personnalisés : Fournissez une liste de mots personnalisés (insensibles à la casse) que vous souhaitez rejeter dans le mot de passe.

Vérification de conformité du mot de passe

Après avoir mis à jour la politique de mot de passe dans Logto, les utilisateurs existants peuvent toujours se connecter avec leur mot de passe actuel. Seuls les nouveaux comptes créés devront respecter la politique mise à jour.

Pour renforcer la sécurité, vous pouvez utiliser l’API POST /api/sign-in-exp/default/check-password pour vérifier si le mot de passe d’un utilisateur respecte la politique actuelle définie dans l’expérience de connexion par défaut. Si ce n’est pas le cas, vous pouvez inviter l’utilisateur à mettre à jour son mot de passe via un flux personnalisé en utilisant Account API.

Concevez votre politique de mot de passe