Puedes establecer y administrar políticas de contraseñas para los usuarios de bases de datos de tus instancias de AlloyDB para PostgreSQL.
Para obtener una descripción general de los métodos de autenticación disponibles en AlloyDB, consulta Autenticación.
Acerca de las políticas de contraseñas
Si los usuarios de la base de datos de tu aplicación se autentican con tus instancias de AlloyDB a través del método integrado basado en contraseñas, puedes hacer que la autenticación sea más segura aplicando contraseñas seguras. Puedes definir y habilitar la aplicación de contraseñas configurando una política de contraseñas en tus instancias.
Limitaciones de las políticas de contraseñas
Las políticas de contraseñas de AlloyDB tienen las siguientes limitaciones:
Las políticas de contraseñas se aplican solo a las contraseñas creadas después de que configures las políticas. Los cambios en la política de contraseñas no afectan las contraseñas de los usuarios existentes.
Las políticas de contraseñas se aplican solo a las contraseñas ingresadas como texto sin formato. Las políticas de contraseñas no se aplican a las contraseñas ingresadas como cadenas encriptadas.
Cómo establecer una política de contraseñas de instancia
Puedes establecer una política de contraseñas en una instancia configurando marcas de contraseñas en una instancia.
Inhabilitar nombre de usuario: Impide que se use el nombre de usuario en la contraseña.
Complejidad de la contraseña: Verifica si la contraseña contiene la cantidad permitida de caracteres en minúscula, mayúscula, numéricos y no alfanuméricos. También verifica si la longitud de la contraseña es válida.
Vencimiento de contraseñas: Asegúrate de que las contraseñas se roten periódicamente.
Para obtener una lista de las marcas de política de contraseñas que admite AlloyDB, consulta Marcas de política de contraseñas.
Aplica la complejidad de la contraseña
Para aplicar una política de complejidad de contraseñas, haz lo siguiente:
- Establece la marca
password.enforce_complexityenON. - Usa marcas de política de contraseñas para definir tu política de contraseñas.
Por ejemplo, para aplicar una política de contraseñas que establezca que una contraseña debe contener al menos una letra mayúscula, un número y tener al menos 10 caracteres, debes establecer los siguientes parámetros:
- De
password.enforce_complexityaON - Marca
password.min_uppercase_lettersen1 - Marca
password.min_numerical_charsen1 - Marca
password.min_pass_lengthen10
Después de configurar estos parámetros, fallará cualquier intento de establecer una contraseña de usuario de la base de datos que no cumpla con esta política de contraseñas. Por ejemplo, con esta política establecida, el siguiente comando del cliente psql falla porque la contraseña foo tiene menos de 10 caracteres y no contiene un número ni un carácter en mayúscula.
CREATE USER USERNAME WITH PASSWORD 'foo';
Cómo aplicar el vencimiento de contraseñas
Para aplicar la política de vencimiento de contraseñas, haz lo siguiente:
Establece la marca
password.enforce_expirationenON.Establece la marca
password.expiration_in_daysen la cantidad de días después de que se establece una contraseña que vence.Establece la marca
password.notify_expiration_in_daysen la cantidad de días antes del vencimiento de una contraseña en que un usuario comienza a recibir notificaciones de vencimiento de contraseña.
Por ejemplo, para aplicar una política de contraseñas que establezca que las contraseñas vencen después de 30 días y que los usuarios reciben una notificación 15 días antes de que venza su contraseña, debes establecer lo siguiente:
- De
password.enforce_expirationaON - Marca
password.expiration_in_daysen30 - Marca
password.notify_expiration_in_daysen15
Si vence la contraseña de un usuario, este no podrá conectarse a la instancia de AlloyDB. Para restablecer la contraseña de un usuario, consulta Cómo cambiar la contraseña de un usuario de la base de datos.
No permitir nombres de usuario en las contraseñas
Para aplicar la política que impide que una contraseña contenga un nombre de usuario, haz lo siguiente:
- Establece
password.enforce_password_does_not_contain_usernameenON.
Por ejemplo, para asegurarte de que una contraseña no contenga un nombre de usuario como subcadena, debes establecer lo siguiente:
- De
password.enforce_password_does_not_contain_usernameaON
Si se establece esta marca, la siguiente operación falla porque la contraseña alex-secret contiene el nombre de usuario Alex:
CREATE USER Alex WITH PASSWORD 'alex-secret';