账户锁定
账户锁定 是什么?
账户锁定在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。
账户锁定在认证失败次数达到阈值时禁用账户,提高在线暴力破解和密码喷洒的成本。Active Directory、Entra ID、Okta 等大多数认证平台都提供三元参数:最大尝试次数、观察时间窗口和锁定时长(例如 10 分钟内失败 10 次便锁定 30 分钟)。NIST SP 800-63B 建议采用速率限制和智能节流,而非过于激进的锁定策略,因为攻击者可借此制造拒绝服务。现代实现通常结合渐进延迟、按源 IP 节流、CAPTCHA,以及 Microsoft Smart Lockout 等基于风险信号的功能——它只锁定攻击者来源,保留合法登录。
● 示例
- 01
Microsoft Entra ID Smart Lockout 在 10 次错误后阻断攻击者 IP,而合法用户仍可从其他网络登录。
- 02
网上银行在 5 次错误 PIN 后将客户访问锁定 30 分钟。
● 常见问题
账户锁定 是什么?
在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。 它属于网络安全的 身份与访问 分类。
账户锁定 是什么意思?
在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。
账户锁定 是如何工作的?
账户锁定在认证失败次数达到阈值时禁用账户,提高在线暴力破解和密码喷洒的成本。Active Directory、Entra ID、Okta 等大多数认证平台都提供三元参数:最大尝试次数、观察时间窗口和锁定时长(例如 10 分钟内失败 10 次便锁定 30 分钟)。NIST SP 800-63B 建议采用速率限制和智能节流,而非过于激进的锁定策略,因为攻击者可借此制造拒绝服务。现代实现通常结合渐进延迟、按源 IP 节流、CAPTCHA,以及 Microsoft Smart Lockout 等基于风险信号的功能——它只锁定攻击者来源,保留合法登录。
如何防御 账户锁定?
针对 账户锁定 的防御通常结合技术控制与运营实践,详见上方完整定义。
账户锁定 还有哪些其他名称?
常见的别称包括: 锁定策略, 登录锁定。
● 相关术语
- identity-access№ 795
密码
用户向系统证明身份所提供的一串秘密字符,传统上是占主导地位的单因素认证方式。
- identity-access№ 798
密码策略
一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
- attacks№ 800
密码喷洒攻击
低速广撒网式攻击:用少量常见密码尝试大量账户,以避开账户锁定和速率限制阈值。
- identity-access№ 940
基于风险的认证 (RBA)
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。