组织中的新安全准则要求将密码策略从 8 个字符更改为 12 个字符(并且需要大写、小写和特殊字符)。
我们的用户目前在 AWS Cognito 上的用户池中进行管理。 乍一看,策略更改似乎很简单,因为您可以在 UI 中进行更改。 但这对现有用户意味着什么?
- 他们的状态会更改为
FORCE_CHANGE_PASSWORD
吗? - 他们会自动收到一封电子邮件来重置密码
或者他们下次尝试登录时会被拒绝访问吗?或者该政策仅适用于新用户?
如果情况并非如此,我想这必须由开发人员处理,并通过脚本将所有用户的状态更改为 FORCE_CHANGE_PASSWORD
。由于密码经过哈希处理,因此无法判断哪些当前用户已经拥有符合新政策的密码。
最佳答案
如果您更改政策,不会对现有用户产生任何影响,他们的状态将保持不变,并且他们将能够继续使用现有密码登录,即使它不符合新政策.
正如您所提到的,其原因是密码以散列方式存储,因此无法知道它满足哪些特定标准。存储有关密码的任何其他元数据(长度、大小写、数字和符号用法)将严重破坏其安全性。
新用户注册时会受到影响,需要遵守新政策。
对于现有用户,如果您想确保密码符合新政策,则需要调用 AdminResetUserPassword 来完成此操作。使现有密码无效(或 AdminSetUserPassword,如果您想设置一个非永久新密码),并要求在下次登录时重置密码。
关于amazon-web-services - 更新 Cognito 用户池密码策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/73460348/