安全
现代认证 (Authentication) 安全应对的威胁包括网络钓鱼、凭证填充、暴力攻击、勒索软件、DDoS 到 AI 驱动的攻击。保护用户身份对于维护品牌信任和合规性至关重要。
Logto 提供强大的安全访问管理,旨在直接应对这些风险。通过优先考虑主动威胁预防和弹性,我们确保你的系统在不影响可用性的情况下保持防护。在 Logto,安全不是事后考虑,而是基础,使企业能够在威胁不断演变的时代中蓬勃发展,而防御措施发展得更快。
设置高级安全保护
增强密码要求,以防御凭证填充和弱密码攻击。
在你的登录体验中添加 CAPTCHA(例如,Google reCAPTCHA,Cloudflare Turnstile)以防止自动化机器人攻击。
在多次认证 (Authentication) 失败尝试后暂时锁定标识符,以防止暴力访问。
隐藏账户状态以阻止账户枚举攻击,避免泄露敏感的账户状态信息。
通过阻止一次性或不需要的电子邮件域或地址来控制你的用户群。
发现更多保护应用的方法
通过支持身份验证器应用 OTP、密钥 (WebAuthn) 和备份代码,为登录过程增加一层额外保护。
允许应用在用户访问敏感信息或执行高风险操作时提示升级认证 (Authentication)。
暂时禁用用户账户以阻止访问,而不删除数据或用户记录。
定期轮换签名密钥以防止密钥泄漏和令牌伪造。
启用集中注销以减少会话劫持和未经授权访问的风险。
限制注册仅限于被邀请的用户,使用电子邮件魔术链接进行安全的入职。