Políticas de autenticación

Una política de autenticación es un conjunto de reglas que se aplican al proceso de autenticación y a la verificación de los datos de autenticación mediante HCL Commerce. HCL Commerce admite las políticas de cuentas y otras políticas relacionadas con la autenticación, como se describe en las subsecciones siguientes.

Versions prior to 9.1.2.0 onlyPolíticas de cuentas HCL Commerce Version 9.1.2.0 or laterPolíticas de seguridad

Una política de cuentas define las políticas relacionadas con las cuentas, por ejemplo las políticas de contraseñas y de bloqueo de cuentas. Para obtener información sobre cómo crear políticas de cuentas, consulte Configurar una política de cuentas.

Política de bloqueo de cuentas
Una política de bloqueo de cuentas bloquea o inhabilita una cuenta de usuario si se lanzan acciones perjudiciales para esa cuenta. Si se bloquea o inhabilita la cuenta de usuario, se reducen las posibilidades de que las acciones comprometan la cuenta. Una política de bloqueo de cuentas impone los elementos siguientes:
  • El umbral de bloqueo de cuenta. Indica el número de intentos de conexión no válidos antes de que la cuenta se inhabilite. Al establecer este número demasiado bajo, corre el riesgo de bloquear a usuarios legítimos que han escrito mal su contraseña o tienen dificultades para recordarla y la posibilidad de desbordar al equipo de representante de servicio al cliente (CSR) si un atacante está intentando bloquear varias cuentas. Si establece este número demasiado alto, evita los riesgos mencionados anteriormente, pero es más probable que el sitio sea vulnerable a un ataque por la fuerza consistente en adivinar contraseñas. Elija el umbral que se ajuste mejor a sus requisitos de seguridad.
  • Retardo de conexiones no satisfactorias consecutivas. Este valor es el periodo de tiempo durante el cual no se permite al usuario iniciar la sesión, después de dos intentos anómalos de inicio de sesión. El retardo se incrementa en el valor de retardo de tiempo configurado (por ejemplo 10 segundos) con cada anomalía de conexión consecutiva.

Para obtener información sobre cómo crear políticas de bloqueo de cuentas, consulte Configurar una política de bloqueo de cuentas.

Nota:
  • La cuenta de bloqueo no funciona con LDAP habilitado.
  • HCL Commerce Version 9.1.6.0 or laterAl alcanzar el umbral de bloqueo de cuenta, la cuenta de usuario se bloquea. Los usuarios del sitio pueden restablecer su contraseña y desbloquear la cuenta utilizando el flujo de la característica Contraseña olvidada. Antes de la versión 9.1.6.0, la cuenta de usuario estaba inhabilitada y el usuario del sitio no podía volver a habilitarla.
Política de contraseñas
Una política de contraseñas define características que las contraseñas de usuario deben satisfacer. Una política de contraseñas impone las condiciones siguientes:
  • Si el ID de usuario puede coincidir con la contraseña.
  • Número máximo de apariciones de caracteres consecutivos.
  • Número máximo de apariciones de cualquier carácter.
  • Duración máxima de las contraseñas.
  • Número mínimo de caracteres alfabéticos.
  • Número mínimo de caracteres numéricos.
  • Longitud mínima de la contraseña.
  • Número de contraseñas anteriores para hacer comprobaciones cuando el usuario selecciona una nueva contraseña.

Para obtener información sobre cómo crear políticas de contraseña, consulte Configurar una política de contraseña.

HCL Commerce proporciona dos políticas de cuentas predeterminadas: Administradores y compradores. Para obtener más información sobre estas políticas, consulte Políticas de seguridad de cuentas predeterminadas.

Otras políticas relacionadas con la autenticación

A continuación se describen las demás políticas relacionadas con la autenticación disponibles con HCL Commerce:

Invalidación de contraseña
Cuando está habilitada, la invalidación de contraseña requiere que los usuarios de HCL Commerce cambien su contraseña si la contraseña del usuario ha caducado. En ese caso, se redirige al usuario a una página en la que se le pide que cambie su contraseña. Los usuarios no pueden acceder a ninguna página segura en el sitio hasta que cambie su contraseña.

Para obtener información sobre cómo habilitar la invalidación de contraseña, consulte Habilitar invalidación de contraseña.

Mandatos protegidos por contraseña
Cuando la característica de mandatos protegidos por contraseña está habilitada, HCL Commerce requiere que los usuarios registrados que hayan iniciado la sesión en HCL Commerce especifiquen su contraseña. Los usuarios registrados deben entrar la contraseña antes de que continúe una solicitud que ejecuta mandatos de HCL Commerce designados.

Precaución: cuando configure los mandatos protegidos por contraseña, algunos de los mandatos que se muestran en la lista de selección de mandatos pueden ser ejecutados por usuarios genéricos o invitados. Si se configuran dichos mandatos como protegidos por contraseña, se impedirá que los usuarios genéricos e invitados los ejecuten.

Para obtener información sobre cómo habilitar la característica de mandatos protegidos por contraseña, consulte Habilitar mandatos protegidos por contraseña.

Tiempo de espera de conexión
Con la política de tiempo de espera de conexión, HCL Commerce desconecta a un usuario que esté inactivo durante un largo periodo de tiempo. A continuación, HCL Commerce solicita que el usuario vuelva a iniciar la sesión en el sistema utilizando el nodo de Tiempo de espera de conexión.