メインコンテンツへスキップ

利用可能なパスワードポリシー

Auth0 データストアまたはカスタムデータベース接続を使用している場合は、次のパスワードポリシーを適用できます。
ポリシー説明
パスワード履歴ユーザーは直近で使用したパスワードを再利用できません。このポリシーを有効にしている間、Auth0 は最大 24 件分のパスワード履歴を保持します。
パスワード辞書ユーザーは、10,000 件の一般的なパスワードを含むデフォルトの辞書リストに含まれるパスワードや、追加で禁止したパスワードを使用できません (大文字と小文字を区別しない比較に基づきます) 。
個人データのブロックユーザーは、nameusernamenicknameuser_metadata.nameuser_metadata.firstuser_metadata.last の値、またはメールアドレスの先頭部分 (@ より前) を含むパスワードを使用できません。
パスワード強度ユーザーは、選択した複雑さの要件を満たさないパスワードを使用できません。選択できるレベルは 5 段階あり、OWASP のパスワード推奨事項に対応しています。
これらのオプションは、Auth0 Dashboard または Management API を使用して設定できます。

Auth0 Dashboard でパスワードポリシーを適用する

ソーシャル接続およびエンタープライズ接続 のパスワードポリシーは、Auth0 のデータベース接続のパスワードポリシーではなく、各プロバイダーによって適用されます。
Auth0 Dashboard でパスワードポリシーを有効または無効にするには、次の手順に従います。
  1. Auth0 Dashboard > Authentication > Database に移動し、編集する接続の名前を選択します。
  2. Authentication Methods タブを選択します。次に、Password セクションで Configure を選択し、Password パネルを開きます。
  3. Security セクションを選択して展開し、変更するポリシーを更新します。
    • Password history ボックスをオンまたはオフにします。Password history size フィールドで、ユーザーが再利用できない過去のパスワード数を指定します。
    • Password dictionary ボックスをオンまたはオフにします。Additional dictionary entries テキストフィールドを使用して、追加で禁止するパスワードを 1 行に 1 つずつ指定します。
    • Block Personal Data ボックスをオンまたはオフにします。
  4. Composition セクションを選択して展開し、Strength スライダーを使用して複雑さのレベルを選択します。
    • None: 空でないパスワードが必要です。
    • Low: 指定した文字数以上のパスワードが必要です。
    • Fair: 上記に加えて、小文字、大文字、数字をそれぞれ 1 文字以上含める必要があります。
    • Good: さらに、小文字、大文字、数字、特殊文字 (!@#$%^&*) のうち少なくとも 3 種類を含める必要があります。
    • Excellent: 上記に加えて、同じ文字を 3 文字以上連続で使用することはできません。
  5. Save をクリックします。

Management API でパスワードポリシーを適用する

Management API を使用すると、データベース接続の作成時または更新時にパスワードポリシーを構成できます。詳細については、次のエンドポイントを参照してください。 データベース接続に現在設定されているパスワードポリシーは、接続を取得するエンドポイント から返される options オブジェクトで確認できます。