メインコンテンツまでスキップ

識別子ロックアウト

識別子ロックアウトポリシーでは、ブルートフォース攻撃から保護するために独自のセンチネルポリシー設定をカスタマイズできます。このポリシーは、各識別子(ユーザー名やメールアドレスなど)の認証 (Authentication) 試行を監視し、不審な活動が検出された場合に制限を実施します。ユーザーが許可された認証 (Authentication) 失敗回数を超えると、システムはその識別子を一時的にロックし、指定された期間は追加の認証 (Authentication) 試行を防止します。これにより、ブルートフォース攻撃を軽減し、アカウント全体のセキュリティが向上します。

ポリシーの適用範囲

  • 識別子サインイン:パスワードおよび認証コード
  • 識別子サインアップ:メール/電話認証コード
  • パスワードリセット:メール/電話認証コード

ポリシー設定

デフォルトでは、認証 (Authentication) 失敗が 100 回に達すると、識別子は 60 分間ロックされます。

ポリシー設定のカスタマイズや、認証済みユーザーの手動解除を行うには、コンソール > セキュリティ > 一般 で「ロックアウト体験のカスタマイズ」を有効にしてください。

以下の設定を構成できます:

  1. 最大失敗回数

    • 1 時間以内に識別子ごとに連続して許可される認証 (Authentication) 失敗回数を制限します。上限を超えると、その識別子は一時的にロックアウトされます。
    • デフォルト値:100

  2. ロックアウト期間(分)

    • 最大失敗回数を超えた後、指定した期間その識別子に対するすべての認証 (Authentication) 試行をブロックします。
    • デフォルト値:60 分

  3. 手動解除

    • 管理者は、ロックアウトから解除したい識別子のリストを指定することで、ユーザーを手動で解除できます。指定した識別子は、ロックされている識別子と正確に一致する必要があります。

ロックアウト Webhook

識別子が最大失敗回数を超えてロックされた場合、Logto は Identifier.Lockout Webhook イベントをトリガーし、不審なアカウント活動への自動対応を可能にします。

主なユースケース:

  • チームにセキュリティアラートを送信し、即時確認を促す
  • ユーザーに SMS やプッシュ通知でロックアウトを通知し、復旧手順を案内する

Webhook の設定は コンソール > Webhooks から行えます。イベント構造や詳細な設定については Webhooks を参照してください。