Pular para o conteúdo principal

Bloqueio de identificador

A política de bloqueio de identificador permite que você personalize suas próprias configurações de política sentinela para proteger contra acessos por força bruta. Essa política funciona monitorando as tentativas de autenticação para cada identificador (como nomes de usuário ou endereços de e-mail) e implementando restrições quando uma atividade suspeita é detectada. Se um usuário exceder o número permitido de tentativas de autenticação malsucedidas, o sistema bloqueia temporariamente o identificador, impedindo novas tentativas de autenticação por um período especificado. Isso ajuda a mitigar ataques de força bruta e aumenta a segurança geral da conta.

Aplicação da política

  • Login com identificador: Senha e código de verificação
  • Cadastro com identificador: Código de verificação por e-mail / telefone
  • Redefinir senha: Código de verificação por e-mail / telefone

Configurações da política

Por padrão, um identificador é bloqueado por 60 minutos após 100 tentativas de autenticação malsucedidas.

Para personalizar as configurações da política ou desbloquear manualmente usuários verificados, acesse Console > Segurança > Geral e ative "Personalizar experiência de bloqueio".

Configure as seguintes definições:

  1. Máximo de tentativas malsucedidas:

    • Limite o número de tentativas consecutivas de autenticação malsucedidas por identificador dentro de uma hora. Se o limite for excedido, o identificador será temporariamente bloqueado.
    • Valor padrão: 100

  2. Duração do bloqueio (minutos):

    • Bloqueie todas as tentativas de autenticação para o identificador durante um período especificado após exceder o máximo de tentativas malsucedidas.
    • Valor padrão: 60 minutos

  3. Desbloqueio manual

    • Administradores podem desbloquear manualmente usuários fornecendo uma lista de identificadores que precisam ser liberados do bloqueio. Os identificadores fornecidos devem corresponder exatamente aos identificadores bloqueados.

Webhook de bloqueio

Quando um identificador é bloqueado por exceder o número máximo de tentativas malsucedidas, o Logto aciona o evento de webhook Identifier.Lockout, permitindo respostas automatizadas a atividades suspeitas na conta.

Casos de uso comuns:

  • Enviar alertas de segurança para sua equipe para revisão imediata
  • Notificar usuários via SMS ou push sobre o bloqueio e fornecer instruções de recuperação

Navegue até Console > Webhooks para configurar seu webhook. Para detalhes sobre a estrutura do evento e configuração, veja Webhooks.