Passwortrichtlinien aktivieren, deaktivieren und verwenden

In diesem Dokument wird beschrieben, wie Sie Passwortrichtlinien festlegen, um die Passwortstärke für neue und bestehende Nutzer zu verbessern.

Übersicht

Mit Passwortrichtlinien können Sie die Kontosicherheit verbessern, indem Sie Anforderungen an die Komplexität von Passwörtern erzwingen. Passwortrichtlinien unterstützen die folgenden Anforderungen an Passwörter:

• Kleinbuchstaben erforderlich
• Großbuchstaben erforderlich
• Numerisches Zeichen erforderlich
• Nicht alphanumerisches Zeichen erforderlich
• Mindestlänge des Passworts (6 bis 30 Zeichen; Standardwert: 6)
• Maximale Länge des Passworts (maximal 4.096 Zeichen)

Die folgenden Zeichen erfüllen die Anforderung für nicht alphanumerische Zeichen, sofern sie konfiguriert sind:

^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ `

Hinweise

• Admin SDK installieren

Erzwingungsmodi

Sie können die Erzwingung von Passwortrichtlinien in zwei Modi aktivieren:

• Erforderlich: Anmeldeversuche schlagen fehl, wenn Nutzer ein Passwort verwenden, das nicht Ihrer Richtlinie entspricht.

• Benachrichtigen: Nutzer können sich mit einem nicht konformen Passwort anmelden. Sie werden über fehlende Kriterien informiert, die zum Erfüllen der Richtlinie eingehalten werden müssen. Zurückgegebene Kriterien:

  • MISSING_LOWERCASE_CHARACTER
  • MISSING_UPPERCASE_CHARACTER
  • MISSING_NUMERIC_CHARACTER
  • MISSING_NON_ALPHANUMERIC_CHARACTER
  • MINIMUM_PASSWORD_LENGTH
  • MAXIMUM_PASSWORD_LENGTH

  Sie können diese Informationen an den Nutzer senden, um ihn aufzufordern, sein Passwort zu aktualisieren. Das folgende Beispiel zeigt eine Antwort mit fehlenden Passwortkriterien:

  {
    "kind": "identitytoolkit#VerifyPasswordResponse",
    "localId": "CJL1i2",
    "email": "cloudysanfrancisco@gmail.com",
    "displayName": "",
    "idToken": "ID_TOKEN",
    "registered": true,
    "userNotifications": [
      {
        "notificationCode": "MISSING_NUMERIC_CHARACTER",
        "notificationMessage": "Password must contain a numeric character"
      },
      {
        "notificationCode": "MISSING_NON_ALPHANUMERIC_CHARACTER",
        "notificationMessage": "Password must contain a non-alphanumeric character"
      }
    ]
  }
  

Neue Nutzer müssen ein Passwort auswählen, das Ihrer Richtlinie entspricht. Wenn Sie aktive Nutzer haben, empfehlen wir, die Erzwingung des Upgrades bei der Anmeldung nicht zu aktivieren, es sei denn, Sie möchten die Passwortrichtlinie sofort erzwingen. Verwenden Sie stattdessen den Benachrichtigungsmodus. Nutzer können sich dann mit ihren aktuellen Passwörtern anmelden und erhalten Benachrichtigungen mit Informationen zu den Anforderungen, die ihr Passwort nicht erfüllt.

Wenn Sie die Erzwingung aktivieren, setzen Sie forceUpgradeOnSignin auf true, um die Erzwingung im Modus „require“ zu aktivieren. Setzen Sie den Wert auf false, um die Erzwingung im Benachrichtigungsmodus zu aktivieren.

Erzwingung aktivieren

So erzwingen Sie eine Passwortrichtlinie:

1. Falls noch nicht geschehen, konfigurieren Sie die Anmeldung mit E-Mail-Adresse und Passwort.

2. Führen Sie den folgenden Befehl aus, um eine Passwortrichtlinie auf Projektebene zu erzwingen:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update project config with password policy config
   getAuth().projectConfigManager().updateProjectConfig({
     passwordPolicyConfig: {
       enforcementState: 'ENFORCE',
       forceUpgradeOnSignin: true,
       constraints: {
         requireUppercase: true,
         requireLowercase: true,
         requireNonAlphanumeric: true,
         requireNumeric: true,
         minLength: MIN_PASSWORD_LENGTH,
         maxLength: MAX_PASSWORD_LENGTH,
       },
     },
   })
   

   Ersetzen Sie Folgendes:

   • MIN_PASSWORD_LENGTH: die erforderliche Mindestlänge des Passworts
   • MAX_PASSWORD_LENGTH: die maximal erforderliche Passwortlänge

3. Führen Sie Folgendes aus, um eine Passwortrichtlinie auf Mandantenebene zu erzwingen:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update project config with password policy config
   getAuth().tenantManager().createTenant({
     displayName: "admin-tenant",
     passwordPolicyConfig: {
       enforcementState: 'ENFORCE',
       forceUpgradeOnSignin: true,
       constraints: {
         requireUppercase: true,
         requireLowercase: true,
         requireNonAlphanumeric: true,
         requireNumeric: true,
         minLength: MIN_PASSWORD_LENGTH,
         maxLength: MAX_PASSWORD_LENGTH,
       },
     },
   })
   

Erzwingung deaktivieren

1. Führen Sie Folgendes aus, um die Durchsetzung von Passwortrichtlinien auf Projektebene zu deaktivieren:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update project config with password policy config
   getAuth().projectConfigManager().updateProjectConfig({
     passwordPolicyConfig: {
       enforcementState: 'OFF',
     },
   })
   

2. Führen Sie Folgendes aus, um die Durchsetzung von Passwortrichtlinien auf Mandantenebene zu deaktivieren:

   import { getAuth } from 'firebase-admin/auth';
   
   // Update tenant config with password policy config
   getAuth().tenantManager().updateTenant(TENANT-ID, {
     passwordPolicyConfig: {
       enforcementState: 'OFF',
     },
   })
   

   Ersetzen Sie TENANT-ID durch die Mandanten-ID, für die Sie eine Passwortrichtlinie deaktivieren möchten.

Clientseitige Erzwingung

Passwörter können clientseitig vor dem Senden anhand der Passwortrichtlinie für das Projekt oder einen Mandanten validiert werden.

import { getAuth, validatePassword } from 'firebase/auth';

const auth = getAuth();
auth.tenantId = TENANT-ID;

const status = await validatePassword(auth, 'password').catch((error) => {
  // Password could not be validated.
});
const policy = status.passwordPolicy;

// Use the status and policy to show what requirements are met and which are missing.