識別碼鎖定 (Identifier lockout)
識別碼鎖定政策讓你可以自訂哨兵政策設定,以防止暴力破解存取。此政策會監控每個識別碼(如使用者名稱或電子郵件地址)的驗證 (Authentication) 嘗試,當偵測到可疑活動時實施限制。如果使用者超過允許的驗證 (Authentication) 失敗次數,系統會暫時鎖定該識別碼,在指定時間內阻止進一步的驗證 (Authentication) 嘗試。這有助於減緩暴力破解攻擊並提升整體帳號安全性。
政策應用範圍
- 識別碼登入:密碼與驗證碼
- 識別碼註冊:電子郵件 / 電話驗證碼
- 重設密碼:電子郵件 / 電話驗證碼
政策設定
預設情況下,單一識別碼在 1 小時內驗證 (Authentication) 失敗達 100 次後,將被鎖定 60 分鐘。
若要自訂政策設定或手動解除已驗證 (Authentication) 使用者的鎖定,請前往 主控台 > 安全性 > 一般 並啟用「自訂鎖定體驗」。
可設定以下選項:
-
最大失敗次數:
- 限制每個識別碼每小時連續驗證 (Authentication) 失敗的次數。若超過限制,該識別碼將被暫時鎖定。
- 預設值:100
-
鎖定時長(分鐘):
- 超過最大失敗次數後,於指定時長內封鎖該識別碼的所有驗證 (Authentication) 嘗試。
- 預設值:60 分鐘
-
手動解除鎖定
- 管理員可手動輸入需解除鎖定的識別碼清單,將其從鎖定狀態釋放。輸入的識別碼必須與被鎖定的識別碼完全相符。
鎖定 Webhook
當識別碼因超過最大失敗次數而被鎖定時,Logto 會觸發 Identifier.Lockout webhook 事件,讓你能自動回應可疑帳號活動。
常見應用場景:
- 向團隊發送安全警報以便即時審查
- 透過簡訊或推播通知使用者鎖定狀態並提供復原指引
請前往 主控台 > Webhook 設定你的 webhook。詳細事件結構與設定方式,請參閱 Webhook。