식별자 잠금 (Identifier lockout)
식별자 잠금 정책을 통해 자체 센티넬 정책 설정을 사용자 정의하여 무차별 대입 공격으로부터 보호할 수 있습니다. 이 정책은 각 식별자(예: 사용자 이름 또는 이메일 주소)에 대한 인증 (Authentication) 시도를 모니터링하고, 의심스러운 활동이 감지되면 제한을 적용합니다. 사용자가 허용된 실패 인증 (Authentication) 시도 횟수를 초과하면, 시스템은 해당 식별자를 일시적으로 잠가 지정된 기간 동안 추가 인증 (Authentication) 시도를 차단합니다. 이를 통해 무차별 대입 공격을 완화하고 전체 계정 보안을 강화할 수 있습니다.
정책 적용 범위
- 식별자 로그인: 비밀번호 및 인증 (Authentication) 코드
- 식별자 회원가입: 이메일/전화 인증 (Authentication) 코드
- 비밀번호 재설정: 이메일/전화 인증 (Authentication) 코드
정책 설정
기본적으로, 식별자는 100번의 인증 (Authentication) 실패 시도 후 60분 동안 잠깁니다.
정책 설정을 사용자 정의하거나 인증된 사용자를 수동으로 차단 해제하려면 콘솔 > 보안 > 일반로 이동하여 "잠금 경험 사용자 정의"를 활성화하세요.
다음 설정을 구성할 수 있습니다:
-
최대 실패 시도 횟수:
- 1시간 이내에 식별자별로 연속된 인증 (Authentication) 실패 시도 횟수를 제한합니다. 제한을 초과하면 해당 식별자가 일시적으로 잠깁니다.
- 기본값: 100
-
잠금 지속 시간(분):
- 최대 실패 시도 횟수를 초과한 후, 지정된 기간 동안 해당 식별자에 대한 모든 인증 (Authentication) 시도를 차단합니다.
- 기본값: 60분
-
수동 차단 해제
- 관리자는 잠금 해제가 필요한 식별자 목록을 제공하여 사용자를 수동으로 차단 해제할 수 있습니다. 입력한 식별자는 차단된 식별자와 정확히 일치해야 합니다.
잠금 Webhook
식별자가 최대 실패 시도 횟수를 초과하여 잠금 상태가 되면, Logto는 Identifier.Lockout Webhook 이벤트를 트리거하여 의심스러운 계정 활동에 대한 자동화된 대응을 가능하게 합니다.
일반적인 사용 사례:
- 보안 경고를 팀에 전송하여 즉각적인 검토를 요청
- 사용자에게 SMS 또는 푸시 알림으로 잠금 사실을 알리고 복구 안내 제공
콘솔 > Webhooks로 이동하여 Webhook을 구성하세요. 자세한 이벤트 구조 및 설정 방법은 Webhooks를 참고하세요.