Abilitare, disabilitare e utilizzare le policy per le password

Questo documento mostra come impostare le policy per le password per migliorare la robustezza delle password per gli utenti nuovi ed esistenti.

Panoramica

Con i criteri relativi alle password, puoi migliorare la sicurezza degli account applicando i requisiti di complessità delle password. Le policy per le password supportano i seguenti requisiti per le password:

• Carattere minuscolo obbligatorio
• Carattere maiuscolo obbligatorio
• Carattere numerico obbligatorio
• Carattere non alfanumerico obbligatorio
• Lunghezza minima della password (da 6 a 30 caratteri; il valore predefinito è 6)
• Lunghezza massima della password (lunghezza massima di 4096 caratteri)

Se configurati, i seguenti caratteri soddisfano il requisito dei caratteri non alfanumerici:

^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ `

Prima di iniziare

• Installa l'SDK Admin

Modalità di applicazione

Puoi abilitare l'applicazione delle policy per le password in due modalità:

• Richiedi: i tentativi di accesso non vanno a buon fine finché l'utente non aggiorna una password conforme alle policy.

• Notifica: gli utenti possono accedere con una password non conforme. Vengono restituiti tutti i criteri mancanti necessari per soddisfare la policy. I criteri restituiti includono:

  • MISSING_LOWERCASE_CHARACTER
  • MISSING_UPPERCASE_CHARACTER
  • MISSING_NUMERIC_CHARACTER
  • MISSING_NON_ALPHANUMERIC_CHARACTER
  • MINIMUM_PASSWORD_LENGTH
  • MAXIMUM_PASSWORD_LENGTH

  Puoi inviare queste informazioni all'utente per informarlo di aggiornare la password. L'esempio seguente mostra una risposta contenente i criteri per le password mancanti:

  {
    "kind": "identitytoolkit#VerifyPasswordResponse",
    "localId": "CJL1i2",
    "email": "cloudysanfrancisco@gmail.com",
    "displayName": "",
    "idToken": "ID_TOKEN",
    "registered": true,
    "userNotifications": [
      {
        "notificationCode": "MISSING_NUMERIC_CHARACTER",
        "notificationMessage": "Password must contain a numeric character"
      },
      {
        "notificationCode": "MISSING_NON_ALPHANUMERIC_CHARACTER",
        "notificationMessage": "Password must contain a non-alphanumeric character"
      }
    ]
  }
  

I nuovi utenti sono tenuti a scegliere una password conforme alle policy. Se hai utenti attivi, ti consigliamo di non abilitare l'upgrade forzato all'accesso, a meno che tu non intenda applicare immediatamente la policy per le password. Utilizza invece la modalità di notifica, che consente agli utenti di accedere con le password attuali e invia notifiche che descrivono in dettaglio i requisiti mancanti della password.

Quando abiliti l'applicazione, imposta forceUpgradeOnSignin su true per abilitare l'applicazione in modalità di richiesta. Impostalo su false per abilitare l'applicazione in modalità di notifica.

Abilitare l'applicazione

Per applicare una policy per le password:

1. Se non l'hai ancora fatto, configura l'accesso con email e password.

2. Per applicare una policy per le password a livello di progetto, esegui il comando seguente:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update project config with password policy config
   getAuth().projectConfigManager().updateProjectConfig({
     passwordPolicyConfig: {
       enforcementState: 'ENFORCE',
       forceUpgradeOnSignin: true,
       constraints: {
         requireUppercase: true,
         requireLowercase: true,
         requireNonAlphanumeric: true,
         requireNumeric: true,
         minLength: MIN_PASSWORD_LENGTH,
         maxLength: MAX_PASSWORD_LENGTH,
       },
     },
   })
   

   Sostituisci quanto segue:

   • MIN_PASSWORD_LENGTH: la lunghezza minima della password richiesta
   • MAX_PASSWORD_LENGTH: la lunghezza massima della password richiesta

3. Per applicare una policy per le password a livello di tenant, esegui il comando seguente:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update project config with password policy config
   getAuth().tenantManager().createTenant({
     displayName: "admin-tenant",
     passwordPolicyConfig: {
       enforcementState: 'ENFORCE',
       forceUpgradeOnSignin: true,
       constraints: {
         requireUppercase: true,
         requireLowercase: true,
         requireNonAlphanumeric: true,
         requireNumeric: true,
         minLength: MIN_PASSWORD_LENGTH,
         maxLength: MAX_PASSWORD_LENGTH,
       },
     },
   })
   

Disabilitare l'applicazione

1. Per disabilitare l'applicazione delle policy per le password a livello di progetto, esegui il comando seguente:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update project config with password policy config
   getAuth().projectConfigManager().updateProjectConfig({
     passwordPolicyConfig: {
       enforcementState: 'OFF',
     },
   })
   

2. Per disabilitare l'applicazione delle policy per le password a livello di tenant, esegui il comando seguente:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update tenant config with password policy config
   getAuth().tenantManager().updateTenant(TENANT-ID, {
     passwordPolicyConfig: {
       enforcementState: 'OFF',
     },
   })
   

   Sostituisci TENANT-ID con l'ID tenant per cui vuoi disabilitare una policy per le password.

Applicazione lato client

Le password possono essere convalidate in base alla policy per le password del progetto o di un tenant lato client prima dell'invio.

import { getAuth, validatePassword } from 'firebase/auth';

const auth = getAuth();
auth.tenantId = TENANT-ID;

const status = await validatePassword(auth, 'password').catch((error) => {
  // Password could not be validated.
});
const policy = status.passwordPolicy;

// Use the status and policy to show what requirements are met and which are missing.