组织中的新安全准则要求将密码策略从8个字符更改为12个字符(需要大写、小写和特殊字符(。
我们的用户目前在AWS Cognito上的用户池中进行管理。第一次查看时的策略更改似乎很简单,因为您可以在UI中进行更改。但这对现有用户意味着什么?
- 他们的状态会变为
FORCE_CHANGE_PASSWORD吗 - 他们会自动收到重置密码的电子邮件吗
或者他们下次尝试登录时会被拒绝访问吗?还是该政策只适用于新用户?
如果不是这样,我想这必须由开发人员处理,并通过脚本将所有用户的状态更改为FORCE_CHANGE_PASSWORD。由于密码是散列的,因此无法判断哪些当前用户已经拥有符合新策略的密码。
如果您更改策略,它不会对现有用户产生任何影响,他们的状态将保持不变,他们将能够使用现有密码继续登录,即使不符合新策略。
正如你所提到的,这样做的原因是密码是以哈希的方式存储的,因此无法知道它符合哪些特定标准。存储任何关于密码的额外元数据(长度、大小写、数字和符号使用(都会严重违反密码的安全性
新用户在注册时会受到影响,他们需要满足新政策。
对于现有用户,如果要确保密码与新策略匹配,则需要调用AdminResetUserPassword操作来使现有密码无效(如果要设置非永久性新密码,则使用非永久性的新密码的AdminSetUserPassword(,并要求在下次登录时重设密码。