安全

现代认证 (Authentication) 安全应对的威胁包括网络钓鱼、凭证填充、暴力攻击、勒索软件、DDoS 到 AI 驱动的攻击。保护用户身份对于维护品牌信任和合规性至关重要。

Logto 提供强大的安全访问管理，旨在直接应对这些风险。通过优先考虑主动威胁预防和弹性，我们确保你的系统在不影响可用性的情况下保持防护。在 Logto，安全不是事后考虑，而是基础，使企业能够在威胁不断演变的时代中蓬勃发展，而防御措施发展得更快。

设置高级安全保护

密码策略

增强密码要求，以防御凭证填充和弱密码攻击。

CAPTCHA

在你的登录体验中添加 CAPTCHA（例如，Google reCAPTCHA，Cloudflare Turnstile）以防止自动化机器人攻击。

标识符锁定

在多次认证 (Authentication) 失败尝试后暂时锁定标识符，以防止暴力访问。

隐藏账户存在

隐藏账户状态以阻止账户枚举攻击，避免泄露敏感的账户状态信息。

阻止列表（即将推出）

通过阻止一次性或不需要的电子邮件域或地址来控制你的用户群。

发现更多保护应用的方法

多因素认证 (MFA)

通过支持身份验证器应用 OTP、密钥 (WebAuthn) 和备份代码，为登录过程增加一层额外保护。

升级认证 (Authentication)

允许应用在用户访问敏感信息或执行高风险操作时提示升级认证 (Authentication)。

暂停用户

暂时禁用用户账户以阻止访问，而不删除数据或用户记录。

轮换签名密钥

定期轮换签名密钥以防止密钥泄漏和令牌伪造。

OIDC 后端通道注销

启用集中注销以减少会话劫持和未经授权访问的风险。

仅限邀请注册

限制注册仅限于被邀请的用户，使用电子邮件魔术链接进行安全的入职。