Saltar al contenido principal

Bloqueo de identificador

La política de bloqueo de identificador te permite personalizar tus propias configuraciones de política centinela para proteger contra accesos por fuerza bruta. Esta política funciona monitoreando los intentos de autenticación para cada identificador (como nombres de usuario o direcciones de correo electrónico) e implementando restricciones cuando se detecta actividad sospechosa. Si un usuario supera el número permitido de intentos fallidos de autenticación, el sistema bloquea temporalmente el identificador, impidiendo más intentos de autenticación durante un periodo especificado. Esto ayuda a mitigar ataques de fuerza bruta y mejora la seguridad general de la cuenta.

Aplicación de la política

  • Inicio de sesión con identificador: Contraseña y código de verificación
  • Registro con identificador: Código de verificación por correo electrónico / teléfono
  • Restablecer contraseña: Código de verificación por correo electrónico / teléfono

Configuración de la política

Por defecto, un identificador se bloquea durante 60 minutos después de 100 intentos fallidos de autenticación.

Para personalizar la configuración de la política o desbloquear manualmente a usuarios verificados, visita Consola > Seguridad > General y habilita "Personalizar experiencia de bloqueo".

Configura los siguientes ajustes:

  1. Intentos fallidos máximos:

    • Limita el número de intentos consecutivos fallidos de autenticación por identificador dentro de una hora. Si se supera el límite, el identificador será bloqueado temporalmente.
    • Valor por defecto: 100

  2. Duración del bloqueo (minutos):

    • Bloquea todos los intentos de autenticación para el identificador dado durante un periodo especificado después de superar el máximo de intentos fallidos.
    • Valor por defecto: 60 minutos

  3. Desbloqueo manual

    • Los administradores pueden desbloquear manualmente a los usuarios proporcionando una lista de identificadores que necesitan ser liberados del bloqueo. Los identificadores proporcionados deben coincidir exactamente con los identificadores bloqueados.

Webhook de bloqueo

Cuando un identificador es bloqueado por exceder el máximo de intentos fallidos, Logto dispara el evento webhook Identifier.Lockout, permitiendo respuestas automatizadas ante actividad sospechosa en la cuenta.

Casos de uso comunes:

  • Enviar alertas de seguridad a tu equipo para revisión inmediata
  • Notificar a los usuarios por SMS o notificación push sobre el bloqueo y proporcionar instrucciones de recuperación

Navega a Consola > Webhooks para configurar tu webhook. Para la estructura detallada del evento y la configuración, consulta Webhooks.