我们使用Azure AD B2C作为我们项目的身份验证提供程序。我们在AD B2C中缺少的一个工具是在多次无效登录尝试时锁定帐户。似乎有一种算法会在一段时间内暂时阻止登录请求,但允许在该时间后再次登录。
但是,根据文件: “通过使用各种信号,Azure AD B2C可以分析请求的完整性.Auture AD B2C旨在智能地将目标用户与黑客和僵尸网络区分开来.Aasure AD B2C提供了一种复杂的策略,可以根据输入的密码锁定帐户,一次袭击。“
该帐户将如何被锁定? 怎么可以测试它会实际发生?
答案 0 :(得分:2)
今天,尝试次数从10开始,然后根据每次尝试登录的性质进行调整。其他风险(例如来自可疑IP地址的攻击)的处理方式也不同。锁定时间会随着时间的推移而增加,从而对自动攻击者造成摩擦。
答案 1 :(得分:1)
使用10次不同的密码(如果锁定阈值未更改),您的帐户将被锁定。
例如:
尝试1 =>密码:1
尝试2 =>密码:12
尝试3 =>密码:123
....
尝试3 =>密码:1234567890