Vous pouvez définir et gérer des règles relatives aux mots de passe pour les utilisateurs de bases de données de vos instances AlloyDB pour PostgreSQL.
Pour obtenir une présentation des méthodes d'authentification disponibles dans AlloyDB, consultez Authentification.
À propos des règles relatives aux mots de passe
Si les utilisateurs de la base de données de votre application s'authentifient auprès de vos instances AlloyDB à l'aide de la méthode intégrée basée sur un mot de passe, vous pouvez renforcer la sécurité de l'authentification en exigeant des mots de passe sécurisés. Vous pouvez définir et activer l'application forcée des mots de passe en définissant une règle relative aux mots de passe sur vos instances.
Limites des règles relatives aux mots de passe
Les règles relatives aux mots de passe AlloyDB présentent les limites suivantes :
Les règles relatives aux mots de passe ne s'appliquent qu'aux mots de passe créés après leur définition. Les mots de passe des utilisateurs existants ne sont pas affectés par une modification des règles relatives aux mots de passe.
Les règles relatives aux mots de passe s'appliquent uniquement aux mots de passe saisis en texte brut. Les règles relatives aux mots de passe ne s'appliquent pas aux mots de passe saisis sous forme de chaînes chiffrées.
Définir une règle de mot de passe d'instance
Vous pouvez définir une règle relative aux mots de passe sur une instance en configurant des options de mot de passe sur une instance.
Interdire le nom d'utilisateur : empêche d'utiliser le nom d'utilisateur dans le mot de passe.
Complexité du mot de passe : vérifie si le mot de passe contient le nombre autorisé de caractères minuscules, majuscules, numériques et non alphanumériques. Vérifie également si la longueur du mot de passe est valide.
Expiration des mots de passe : assurez-vous que les mots de passe sont modifiés régulièrement.
Pour obtenir la liste des options de règles de mot de passe compatibles avec AlloyDB, consultez Options des règles concernant les mots de passe.
Appliquer la complexité des mots de passe
Pour appliquer une règle de complexité des mots de passe, procédez comme suit :
- Définissez le fag
password.enforce_complexitysurON. - Utilisez les options des règles concernant les mots de passe pour définir vos règles en matière de mots de passe.
Par exemple, pour appliquer une règle de mot de passe qui stipule qu'un mot de passe doit contenir au moins une lettre majuscule, un chiffre et 10 caractères, vous devez définir les indicateurs suivants :
- De
password.enforce_complexityàON - Option
password.min_uppercase_letterssur1 - Option
password.min_numerical_charssur1 - Option
password.min_pass_lengthsur10
Une fois ces options définies, toute tentative de définition d'un mot de passe utilisateur de base de données qui ne respecte pas cette règle échoue. Par exemple, avec cette règle définie, la commande client psql suivante échoue, car le mot de passe foo comporte moins de 10 caractères et ne contient pas de chiffre ni de majuscule.
CREATE USER USERNAME WITH PASSWORD 'foo';
Appliquer l'expiration du mot de passe
Pour appliquer la règle d'expiration des mots de passe, procédez comme suit :
Définissez le fag
password.enforce_expirationsurON.Définissez le flag
password.expiration_in_dayssur le nombre de jours au bout duquel un mot de passe expire.Définissez le flag
password.notify_expiration_in_dayssur le nombre de jours avant l'expiration d'un mot de passe à partir duquel un utilisateur commence à recevoir des notifications d'expiration de mot de passe.
Par exemple, pour appliquer une règle relative aux mots de passe qui stipule que les mots de passe expirent au bout de 30 jours et que les utilisateurs sont avertis 15 jours avant l'expiration de leur mot de passe, vous devez définir les éléments suivants :
- De
password.enforce_expirationàON - Option
password.expiration_in_dayssur30 - Option
password.notify_expiration_in_dayssur15
Si le mot de passe d'un utilisateur expire, il ne peut pas se connecter à l'instance AlloyDB. Pour réinitialiser le mot de passe d'un utilisateur, consultez Modifier le mot de passe d'un utilisateur de base de données.
Ne pas autoriser les noms d'utilisateur dans les mots de passe
Pour appliquer la règle qui empêche un mot de passe de contenir un nom d'utilisateur, procédez comme suit :
- Définissez
password.enforce_password_does_not_contain_usernamesurON.
Par exemple, pour vous assurer qu'un mot de passe ne contient pas de nom d'utilisateur en tant que sous-chaîne, définissez les éléments suivants :
- De
password.enforce_password_does_not_contain_usernameàON
Si ce flag est défini, l'opération suivante échoue, car le mot de passe alex-secret contient le nom d'utilisateur Alex :
CREATE USER Alex WITH PASSWORD 'alex-secret';