Блокировка учётной записи
Что такое Блокировка учётной записи?
Блокировка учётной записиМеханизм, временно или постоянно блокирующий попытки входа после заданного количества подряд идущих ошибок, замедляющий онлайн-перебор паролей.
Блокировка учётной записи отключает аккаунт при достижении порога неудачных попыток аутентификации, повышая стоимость онлайн-брутфорса и password spraying. Active Directory, Entra ID, Okta и большинство платформ аутентификации задают три параметра: максимум попыток, окно наблюдения и длительность блокировки (например, 10 ошибок за 10 минут приводят к блокировке на 30 минут).
Блокировка — палка о двух концах. NIST SP 800-63B прямо рекомендует ограничение частоты и интеллектуальный троттлинг вместо агрессивных блокировок, поскольку злоумышленник, знающий действительные имена пользователей, может намеренно вызывать блокировки, провоцируя отказ в обслуживании и отрезая реальных пользователей от зарплатной системы, почты или VPN. Агрессивные пороги также подталкивают атакующих к password spraying: перебор одного распространённого пароля по тысячам учётных записей остаётся ниже любого счётчика на отдельный аккаунт — именно так атаки 2020 года, приписываемые группам APT и направленные против тенантов Office 365, обходили блокировку.
Поэтому современные реализации предпочитают более умные средства контроля: прогрессивные (экспоненциальные) задержки между попытками, троттлинг по исходному IP и ASN, CAPTCHA после нескольких ошибок и сигналы риска. Microsoft Smart Lockout отличает легитимного пользователя от атакующего по телеметрии знакомого местоположения и устройства, блокируя только вредоносный источник и сохраняя реальные входы, а также отслеживает несколько последних хешей неверных паролей, чтобы повторение одних и тех же ошибок не расходовало бюджет. Самое надёжное средство защиты — вообще убрать пароль как единственный секрет: устойчивая к фишингу MFA или passkey делают онлайн-подбор бессмысленным.
flowchart TD
A[Попытка входа] --> B{Учётные данные верны?}
B -->|Да| C[Предоставить доступ · сбросить счётчик]
B -->|Нет| D[Увеличить счётчик ошибок]
D --> E{Счётчик >= порога<br/>в пределах окна?}
E -->|Нет| F[Добавить прогрессивную задержку · CAPTCHA] --> A
E -->|Да| G{Умный сигнал:<br/>известное устройство / местоположение?}
G -->|Да легитимный пользователь| H[Разрешить · мягкая проверка]
G -->|Нет источник атаки| I[Блокировать аккаунт или источник<br/>на длительность блокировки]
I --> J[Оповещение / движок рисков]● Примеры
- 01
Microsoft Entra ID Smart Lockout блокирует IP атакующего после 10 ошибок, позволяя реальному пользователю войти из другой сети.
- 02
Онлайн-банкинг блокирует доступ клиента на 30 минут после 5 неверных PIN.
● Частые вопросы
Что такое Блокировка учётной записи?
Механизм, временно или постоянно блокирующий попытки входа после заданного количества подряд идущих ошибок, замедляющий онлайн-перебор паролей. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Блокировка учётной записи?
Механизм, временно или постоянно блокирующий попытки входа после заданного количества подряд идущих ошибок, замедляющий онлайн-перебор паролей.
Как защититься от Блокировка учётной записи?
Защита от Блокировка учётной записи обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Блокировка учётной записи?
Распространённые альтернативные названия: Политика блокировки, Блокировка входа.