Aller au contenu principal

Blocage d’identifiant

La politique de blocage d’identifiant vous permet de personnaliser vos propres paramètres de politique sentinelle pour vous protéger contre les accès par force brute. Cette politique fonctionne en surveillant les tentatives d’authentification pour chaque identifiant (comme les noms d’utilisateur ou les adresses e-mail) et en appliquant des restrictions lorsqu’une activité suspecte est détectée. Si un utilisateur dépasse le nombre autorisé de tentatives d’authentification échouées, le système bloque temporairement l’identifiant, empêchant toute nouvelle tentative d’authentification pendant une durée spécifiée. Cela aide à atténuer les attaques par force brute et améliore la sécurité globale des comptes.

Application de la politique

  • Connexion par identifiant : Mot de passe et code de vérification
  • Inscription par identifiant : Code de vérification e-mail / téléphone
  • Réinitialisation du mot de passe : Code de vérification e-mail / téléphone

Paramètres de la politique

Par défaut, un identifiant est bloqué pendant 60 minutes après 100 tentatives d’authentification échouées.

Pour personnaliser les paramètres de la politique ou débloquer manuellement des utilisateurs vérifiés, rendez-vous sur Console > Sécurité > Général et activez « Personnaliser l’expérience de blocage ».

Configurez les paramètres suivants :

  1. Nombre maximal de tentatives échouées :

    • Limitez le nombre de tentatives d’authentification consécutives échouées par identifiant sur une heure. Si la limite est dépassée, l’identifiant sera temporairement bloqué.
    • Valeur par défaut : 100

  2. Durée du blocage (minutes) :

    • Bloquez toutes les tentatives d’authentification pour l’identifiant concerné pendant une période spécifiée après avoir dépassé le nombre maximal de tentatives échouées.
    • Valeur par défaut : 60 minutes

  3. Déblocage manuel

    • Les administrateurs peuvent débloquer manuellement des utilisateurs en fournissant une liste d’identifiants à libérer du blocage. Les identifiants fournis doivent correspondre exactement à ceux qui sont bloqués.

Webhook de blocage

Lorsqu’un identifiant est bloqué après avoir dépassé le nombre maximal de tentatives échouées, Logto déclenche l’événement webhook Identifier.Lockout, permettant des réponses automatisées à une activité suspecte sur un compte.

Cas d’utilisation courants :

  • Envoyer des alertes de sécurité à votre équipe pour un examen immédiat
  • Notifier les utilisateurs par SMS ou notification push du blocage et fournir des instructions de récupération

Accédez à Console > Webhooks pour configurer votre webhook. Pour la structure détaillée des événements et la configuration, consultez Webhooks.