Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 010

账户锁定

审核人Cybersecurity entrepreneur & security researcher

账户锁定 是什么?

账户锁定在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。


账户锁定在认证失败次数达到阈值时禁用账户,提高在线暴力破解和密码喷洒攻击的成本。Active Directory、Entra ID、Okta 等大多数认证平台都提供三元参数:最大尝试次数、观察时间窗口和锁定时长(例如 10 分钟内失败 10 次便锁定 30 分钟)。

锁定是一把双刃剑。NIST SP 800-63B 明确建议采用速率限制和智能节流,而非激进的锁定策略,因为掌握有效用户名的攻击者可以故意触发锁定,制造拒绝服务,把真实用户挡在工资系统、邮箱或 VPN 之外。激进的阈值还会促使攻击者转向 密码喷洒:用一个常见密码尝试成千上万个账户,始终低于任何单账户计数器——2020 年归因于 APT 组织、针对 Office 365 租户的攻击正是以这种方式规避了锁定。

因此,现代实现更倾向于采用更智能的控制:尝试之间的渐进(指数)延迟、按源 IP 和 ASN 节流、几次失败后的 CAPTCHA,以及风险信号。Microsoft Smart Lockout 利用熟悉位置和设备遥测来区分合法用户与攻击者,只锁定恶意来源而保留真实登录,并跟踪最近几次错误密码的哈希,使重复的相同错误不会消耗配额。最有力的缓解措施是彻底取消将密码作为唯一秘密——抗钓鱼 MFA 或 passkey 让在线猜测变得毫无意义。

flowchart TD
  A[登录尝试] --> B{凭据是否有效?}
  B -->|是| C[授予访问 · 重置计数器]
  B -->|否| D[失败计数器加一]
  D --> E{计数器 >= 阈值<br/>且在时间窗口内?}
  E -->|否| F[增加渐进延迟 · CAPTCHA] --> A
  E -->|是| G{智能信号:<br/>已知设备 / 位置?}
  G -->|是 合法用户| H[允许 · 轻量挑战]
  G -->|否 攻击者来源| I[在锁定时长内<br/>锁定账户或来源]
  I --> J[告警 / 风险引擎]

示例

  1. 01

    Microsoft Entra ID Smart Lockout 在 10 次错误后阻断攻击者 IP,而合法用户仍可从其他网络登录。

  2. 02

    网上银行在 5 次错误 PIN 后将客户访问锁定 30 分钟。

常见问题

账户锁定 是什么?

在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。 它属于网络安全的 身份与访问 分类。

账户锁定 是什么意思?

在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。

如何防御 账户锁定?

针对 账户锁定 的防御通常结合技术控制与运营实践,详见上方完整定义。

账户锁定 还有哪些其他名称?

常见的别称包括: 锁定策略, 登录锁定。

相关术语