การล็อกเอาต์ตามตัวระบุ (Identifier lockout)
นโยบายการล็อกเอาต์ตามตัวระบุช่วยให้คุณสามารถปรับแต่งการตั้งค่านโยบาย sentinel ของคุณเองเพื่อป้องกันการเข้าถึงแบบ brute force นโยบายนี้ทำงานโดยการตรวจสอบความพยายามในการยืนยันตัวตนสำหรับแต่ละตัวระบุ (เช่น ชื่อผู้ใช้หรืออีเมล) และดำเนินการจำกัดเมื่อพบกิจกรรมที่น่าสงสัย หากผู้ใช้เกินจำนวนครั้งที่อนุญาตสำหรับการยืนยันตัวตนที่ล้มเหลว ระบบจะล็อกตัวระบุนั้นชั่วคราว ป้องกันไม่ให้มีการพยายามยืนยันตัวตนเพิ่มเติมในช่วงเวลาที่กำหนดไว้ วิธีนี้ช่วยลดความเสี่ยงจากการโจมตีแบบ brute-force และเพิ่มความปลอดภัยของบัญชีโดยรวม
การนำไปใช้ของนโยบาย
- การลงชื่อเข้าใช้ด้วยตัวระบุ: รหัสผ่านและรหัสยืนยัน
- การสมัครด้วยตัวระบุ: รหัสยืนยันอีเมล / โทรศัพท์
- รีเซ็ตรหัสผ่าน: รหัสยืนยันอีเมล / โทรศัพท์
การตั้งค่านโยบาย
โดยค่าเริ่มต้น ตัวระบุจะถูกล็อกเป็นเวลา 60 นาที หลังจากความพยายามยืนยันตัวตนล้มเหลว 100 ครั้ง
หากต้องการปรับแต่งการตั้งค่านโยบายหรือปลดล็อกผู้ใช้ที่ได้รับการยืนยันด้วยตนเอง ให้ไปที่ Console > Security > General และเปิดใช้งาน "ปรับแต่งประสบการณ์การล็อกเอาต์"
ตั้งค่าตัวเลือกต่อไปนี้:
-
จำนวนครั้งที่ล้มเหลวสูงสุด
- จำกัดจำนวนครั้งที่ยืนยันตัวตนล้มเหลวติดต่อกันต่อหนึ่งตัวระบุภายในหนึ่งชั่วโมง หากเกินขีดจำกัด ตัวระบุจะถูกล็อกชั่วคราว
- ค่าเริ่มต้น: 100
-
ระยะเวลาการล็อกเอาต์ (นาที)
- บล็อกความพยายามยืนยันตัวตนทั้งหมดสำหรับตัวระบุที่กำหนดเป็นระยะเวลาที่ระบุไว้หลังจากเกินจำนวนครั้งที่ล้มเหลวสูงสุด
- ค่าเริ่มต้น: 60 นาที
-
ปลดล็อกด้วยตนเอง
- ผู้ดูแลระบบสามารถปลดล็อกผู้ใช้ด้วยตนเองโดยระบุรายการตัวระบุที่ต้องการปลดล็อกจากสถานะล็อกเอาต์ ตัวระบุที่ระบุจะต้องตรงกับตัวระบุที่ถูกบล็อกอย่างถูกต้อง
Webhook สำหรับการล็อกเอาต์
เมื่อมีการล็อกตัวระบุเนื่องจากเกินจำนวนครั้งที่ล้มเหลวสูงสุด Logto จะทริกเกอร์เหตุการณ์ webhook Identifier.Lockout เพื่อให้สามารถตอบสนองต่อกิจกรรมบัญชีที่น่าสงสัยโดยอัตโนมัติ
กรณีการใช้งานทั่วไป:
- ส่งการแจ้งเตือนด้านความปลอดภัยไปยังทีมของคุณเพื่อให้ตรวจสอบทันที
- แจ้งเตือนผู้ใช้ผ่าน SMS หรือ push notification เกี่ยวกับการล็อกเอาต์และให้คำแนะนำในการกู้คืนบัญชี
ไปที่ Console > Webhooks เพื่อกำหนดค่า webhook ของคุณ สำหรับโครงสร้างเหตุการณ์และการตั้งค่าโดยละเอียด ดูที่ Webhooks