Zum Hauptinhalt springen

Identifier Lockout

Die Identifier Lockout-Richtlinie ermöglicht es dir, eigene Sentinel-Richtlinieneinstellungen anzupassen, um dich vor Brute-Force-Zugriffen zu schützen. Diese Richtlinie funktioniert, indem sie Authentifizierungsversuche für jeden Identifikator (wie Benutzernamen oder E-Mail-Adressen) überwacht und Einschränkungen umsetzt, wenn verdächtige Aktivitäten erkannt werden. Überschreitet ein Benutzer die erlaubte Anzahl fehlgeschlagener Authentifizierungsversuche, wird der Identifikator vorübergehend gesperrt, sodass für eine festgelegte Dauer keine weiteren Authentifizierungsversuche möglich sind. Dies hilft, Brute-Force-Angriffe zu verhindern und die allgemeine Kontosicherheit zu erhöhen.

Anwendung der Richtlinie

  • Identifier-Anmeldung: Passwort und Bestätigungscode
  • Identifier-Registrierung: E-Mail- / Telefon-Bestätigungscode
  • Passwort zurücksetzen: E-Mail- / Telefon-Bestätigungscode

Richtlinieneinstellungen

Standardmäßig wird ein Identifikator nach 100 fehlgeschlagenen Authentifizierungsversuchen für 60 Minuten gesperrt.

Um die Richtlinieneinstellungen anzupassen oder verifizierte Benutzer manuell zu entsperren, gehe zu Konsole > Sicherheit > Allgemein und aktiviere „Lockout-Erlebnis anpassen“.

Konfiguriere die folgenden Einstellungen:

  1. Maximale fehlgeschlagene Versuche:

    • Begrenze die Anzahl aufeinanderfolgender fehlgeschlagener Authentifizierungsversuche pro Identifikator innerhalb einer Stunde. Wird das Limit überschritten, wird der Identifikator vorübergehend gesperrt.
    • Standardwert: 100

  2. Sperrdauer (Minuten):

    • Blockiere alle Authentifizierungsversuche für den angegebenen Identifikator für einen festgelegten Zeitraum, nachdem die maximale Anzahl fehlgeschlagener Versuche überschritten wurde.
    • Standardwert: 60 Minuten

  3. Manuelles Entsperren

    • Administratoren können Benutzer manuell entsperren, indem sie eine Liste von Identifikatoren angeben, die aus der Sperre entfernt werden sollen. Die angegebenen Identifikatoren müssen exakt mit den gesperrten Identifikatoren übereinstimmen.

Lockout Webhook

Wenn ein Identifikator aufgrund zu vieler fehlgeschlagener Versuche gesperrt wird, löst Logto das Identifier.Lockout Webhook-Ereignis aus, wodurch automatisierte Reaktionen auf verdächtige Kontoaktivitäten ermöglicht werden.

Häufige Anwendungsfälle:

  • Sende Sicherheitswarnungen an dein Team zur sofortigen Überprüfung
  • Benachrichtige Benutzer per SMS oder Push-Benachrichtigung über die Sperre und stelle Wiederherstellungsanweisungen bereit

Navigiere zu Konsole > Webhooks, um deinen Webhook zu konfigurieren. Für detaillierte Informationen zur Ereignisstruktur und Konfiguration siehe Webhooks.