Acerca de las políticas de contraseñas
Si los usuarios de la base de datos de tu aplicación se autentican con AlloyDB Omni a través del método integrado basado en contraseñas, puedes hacer que la autenticación sea más segura aplicando contraseñas seguras. Puedes definir y habilitar la aplicación de contraseñas configurando una política de contraseñas de AlloyDB Omni.
Limitaciones de las políticas de contraseñas
Las políticas de contraseñas de AlloyDB Omni tienen las siguientes limitaciones:
Las políticas de contraseñas se aplican solo a las contraseñas creadas después de que configures las políticas. Los cambios en la política de contraseñas no afectan las contraseñas de los usuarios existentes.
Las políticas de contraseñas se aplican solo a las contraseñas ingresadas como texto sin formato. Las políticas de contraseñas no se aplican a las contraseñas ingresadas como cadenas encriptadas.
Cómo establecer una política de contraseñas de AlloyDB Omni
Para establecer una política de contraseñas, actualiza los parámetros de contraseñas de la configuración unificada general (GUC) en tu archivo de configuración de postgresql.conf. Para obtener información sobre cómo configurar un parámetro de GUC, consulta Configura marcas de bases de datos de AlloyDB Omni.
Una política de contraseñas para AlloyDB Omni puede incluir las siguientes opciones:
Inhabilitar nombre de usuario: Impide que se use el nombre de usuario en la contraseña.
Complejidad de la contraseña: Verifica si la contraseña contiene la cantidad permitida de caracteres en minúscula, mayúscula, numéricos y no alfanuméricos. También verifica si la longitud de la contraseña es válida.
Vencimiento de contraseñas: Asegúrate de que las contraseñas se roten periódicamente.
Para obtener una lista de las marcas de política de contraseñas que admite AlloyDB Omni, consulta Marcas de política de contraseñas.
Precarga la biblioteca de validación de contraseñas
Para que una política de contraseñas surta efecto en AlloyDB Omni, se debe cargar la biblioteca alloydb_password_validation. Para cargar esta biblioteca, haz lo siguiente:
Ubica el archivo de configuración
postgresql.confpara tu instalación de AlloyDB Omni y ábrelo en un editor de texto.Busca la línea
shared_preload_librariesy verifica si incluyealloydb_password_validation. Si no es así, debes agregarlo. Cuando termines, la líneashared_preload_librariesdebería verse similar a la siguiente:shared_preload_libraries='google_columnar_engine,google_job_scheduler,google_storage,alloydb_password_validation'
Aplica la complejidad de la contraseña de manera forzosa
Para aplicar una política de complejidad de contraseñas, haz lo siguiente:
Verifica que tu archivo
postgresql.confcargue previamente la biblioteca de validación de contraseñas.Establece la marca
password.enforce_complexityenON.Usa marcas de política de contraseñas para definir tu política de contraseñas.
Por ejemplo, para aplicar una política de contraseñas que establezca que una contraseña debe contener al menos una letra mayúscula, un número y tener al menos 10 caracteres, debes configurar lo siguiente en tu archivo postgresql.conf:
password.enforce_complexity = ONpassword.min_uppercase_letters = 1password.min_numerical_chars = 1password.min_pass_length = 10
Después de configurar estos parámetros, fallará cualquier intento de establecer una contraseña de usuario de la base de datos que no cumpla con esta política de contraseñas. Por ejemplo, con esta política establecida, el siguiente comando del cliente psql falla porque la contraseña foo tiene menos de 10 caracteres y no contiene un número ni un carácter en mayúscula.
CREATE USER USERNAME WITH PASSWORD foo;
Cómo aplicar el vencimiento de la contraseña
Para aplicar la política de vencimiento de contraseñas, haz lo siguiente:
Verifica que tu archivo
postgresql.confcargue previamente la biblioteca de validación de contraseñas.Establece la marca
password.enforce_expirationenON.Establece la marca
password.expiration_in_daysen la cantidad de días después de que se establece una contraseña que vence.Establece la marca
password.notify_expiration_in_daysen la cantidad de días antes del vencimiento de una contraseña en que un usuario comienza a recibir notificaciones de vencimiento de contraseña.
Por ejemplo, para aplicar una política de contraseñas que establezca que las contraseñas vencen después de 30 días y que los usuarios reciben una notificación 15 días antes de que venza su contraseña, debes establecer lo siguiente en tu archivo postgresql.conf:
password.enforce_expiration = ONpassword.expiration_in_days = 30password.notify_expiration_in_days = 15
Si vence la contraseña de un usuario, este no podrá conectarse a AlloyDB Omni. Para restablecer la contraseña de un usuario, haz lo siguiente:
Conéctate a AlloyDB Omni con
psql. Por ejemplo, si instalaste AlloyDB Omni con Docker, ejecuta el siguiente comando:docker exec -it CONTAINER-NAME psql -h localhost -U postgresEn el símbolo del sistema de
postgres=#, ejecuta el siguiente comando:ALTER USER USERNAME WITH 'NEW-PASSWORD';
Para obtener más información sobre cómo cambiar la contraseña de un usuario, consulta ALTER ROLE en la documentación de PostgreSQL.
No permitir nombres de usuario en las contraseñas
Para aplicar la política que impide que una contraseña contenga un nombre de usuario, haz lo siguiente:
Verifica que tu archivo
postgresql.confcargue previamente la biblioteca de validación de contraseñas.Establece
password.enforce_password_does_not_contain_usernameenON.
Por ejemplo, para asegurarte de que una contraseña no contenga un nombre de usuario como subcadena, configura lo siguiente en tu archivo postgresql.conf:
password.enforce_password_does_not_contain_username = ON
Si se establece esta marca, la siguiente operación falla porque la contraseña alex-secret contiene el nombre de usuario alex:
CREATE USER alex WITH PASSWORD 'alex-secret';