文章介绍了BruteForceDetection机制,用于防止登录密码的暴力破解。当登录失败达到设定次数时,系统会锁定账号,可设置为永久或临时锁定。快速登录检测确保两次请求间有足够时间间隔,否则视为快速登录并锁定。锁定的账号在达到预设时长或由管理员手动解锁后才能恢复使用。值得注意的是,失败次数与会话无关,且锁定时仍显示常规的用户名密码错误信息。
暴力检测
Brute Force Detection 暴力检测,防止密码暴力破解,登录失败 N 次锁定。
启用暴力检测
控制台选择 Realm,设置:Realm Settings -> Security Defenses -> Brute Force Detection。
-
Permanent Lockout
ON 表示永久锁定。
OFF 表示临时锁定。 -
Max Login Failures
登录失败达到多少次时,锁定账号。
-
Quick Login Check Milli Seconds
快速登录检测,两次登录请求之间的时间间隔(单位毫秒)小于该值时,则认定为快速登录。
-
Minimum Quick Login Wait
一旦被认定为快速登录,该账号将被临时锁定为该配置项配置的时长。
解除锁定
-
临时锁定用户,达到锁定时长后,会自动解锁。
-
管理员在用户列表或用户详情里可以手动解锁。
注意事项
- 失败次数统计仅与登录账号相关,与会话无关,关闭重启浏览器,次数不会重置。
- 用户锁定后,给出的错误提示还是默认的用户名密码错误,就是不想让攻击者知道用户暂时被禁用了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
