本文檔詳細介紹了CIAM平台的風險控制功能,涵蓋針對IP、賬戶和密碼的三大類安全措施,旨在提升身份認證的安全性。
概述
隨著使用者數和訪問頻率的急劇增長,為了保障身份認證的安全性,CIAM提供了最基本的認證訪問風險控制來為您使用者的身份認證提供安全保障。
CIAM將風險控制分為三大類:
針對IP
針對賬戶
針對密碼
針對IP
IP失敗次數
您可以在此配置對同一IP在一定時間範圍內的連續認證失敗的次數限制,超出限制的次數後,必須輸入圖形驗證碼才能繼續操作。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對IP失敗次數的控制進行配置以及開啟/關閉。
點擊配置來對IP失敗次數中的參數進行一系列的配置。
各參數說明:
時間範圍:認證失敗次數的計數時間範圍,如:預設為 5 分鐘。
認證失敗次數:認證失敗次數範圍。
啟用:開啟/關閉IP失敗次數功能。
IP黑名單
您可以在此配置全域 IP 黑名單,即對所有應用生效,IP 黑名單列表中的地址發起的所有請求將被拒絕訪問。拒絕範圍包括認證、使用者、管理等類型的介面,請謹慎使用。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對IP黑名單進行配置以及開啟/關閉。
點擊配置來對IP黑名單中的參數進行一系列的配置。
各參數說明:
黑名單IP列表:IP 黑名單內的地址將無法使用所有應用的 Client_ID, Client_Secret 以及對應的Access_Token去調用介面。
啟用:開啟/關閉IP黑名單功能。
IP白名單
您可以在此跳轉到應用介面配置 IP 白名單,配置後將只允許該應用白名單 IP 列表中地址發起的請求,所有其他 IP 發起將會被拒絕。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對IP黑名單進行配置以及開啟/關閉。
點擊前往應用頁面配置來對IP白名單中的參數進行一系列的配置。
在應用列表中選擇需要進行操作的應用,點擊IP白名單配置。
各參數說明:
IP白名單:啟用白名單後,白名單中的 IP 位址發起的介面請求才會被執行,如:白名單中未填寫IP(空白) 所有 IP 位址發起的介面請求都可以執行。
啟用白名單:開啟/關閉IP白名單功能。
訪問位置的異常檢查(IP跨省發提示郵件)
若同一使用者連續兩次認證嘗試之間的位置異常(地理位置由IP地址轉換得來),IDaaS將會給使用者傳送簡訊提醒,此功能需提前再簡訊模板中進行配置。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中開啟/關閉訪問位置異常檢查。
賬戶
賬密防暴 圖形驗證碼
在這裡您可以對同一賬戶在一定時間範圍內的以使用者名稱/手機號/郵箱+密碼的形式認證失敗的次數進行圖形驗證碼控制,阻攔彩虹表進攻等暴力破解方式。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對賬密防暴啟動圖形驗證碼進行配置以及開啟/關閉。
各參數說明:
時間範圍:認證失敗次數的計數時間範圍,如:預設為 5 分鐘。
認證失敗次數:認證失敗次數範圍,如果設定為 0 次,則強制開啟圖形驗證碼。
啟用:開啟/關閉賬密防暴啟動圖形驗證碼功能。
賬密防暴 頻率限制
在這裡您可以對同一賬戶在一定時間範圍內的以使用者名稱/手機號/郵箱+密碼的形式認證失敗的次數進行頻率限制,阻攔機器訪問,彩虹表進攻等暴力破解方式。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對賬密防暴對頻率的限制進行配置以及開啟/關閉。
各參數說明:
時間範圍:認證頻率次數的計數時間範圍,如:5分鐘。
頻率次數:認證頻率的次數範圍,如:2次。
鎖定時間範圍:鎖定時間範圍,如:5分鐘。
啟用:開啟/關閉賬密防暴頻率限制功能。
簡訊/郵件防暴 圖形驗證碼
在這裡您可以針對傳送簡訊時的人機校正進行圖形驗證碼控制,防止機器刷發簡訊,避免損失。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對簡訊/郵件防暴啟動圖形驗證碼進行配置以及開啟/關閉。
各參數說明:
時間範圍:認證頻率次數的計數時間範圍,如:5分鐘。
認證失敗次數:認證失敗的次數範圍,如:當在設定的時間範圍內連續認證失敗2次,則強制開啟圖形驗證碼。
啟用:開啟/關閉簡訊/郵件防暴 圖形驗證碼功能。
簡訊/郵件防暴 頻率限制
在這裡您可以針對傳送簡訊時的人機校正進行頻率限制,防止機器刷發簡訊,避免損失。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對簡訊/郵件防暴頻率的限制進行配置以及開啟/關閉。
各參數說明:
時間範圍:認證頻率次數的計數時間範圍,如:5分鐘。
頻率次數:認證頻率的次數範圍,如:2次。
鎖定時間範圍:鎖定時間範圍,如:5分鐘。
啟用:開啟/關閉簡訊/郵件防暴 頻率限制。
登入防暴 簡訊限制
在這裡您可以針對同一登入流程對簡訊/郵件驗證碼的驗證次數限制,防止驗證碼丟失導致的認證風險。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對登入防暴對簡訊的限制進行配置以及開啟/關閉。
各參數說明:
驗證次數:驗證次數的計數範圍,如:3次,超過3次後當前驗證碼將失效。
啟用:開啟/關閉登入防暴簡訊限制功能。
認證頻率限制
在這裡您可以配置對同一賬戶在一定時間範圍內的認證次數限制(無論成功或失敗),防止機器人代理,提高賬戶安全。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對登認證頻率的限制進行配置以及開啟/關閉。
各參數說明:
時間範圍:認證頻率次數的計數時間範圍,如:5分鐘。
認證頻率次數:認證頻率的次數範圍,如:2次。
鎖定時間範圍:鎖定時間範圍,如:5分鐘。
啟用:開啟/關閉認證頻率限制。
密碼
密碼歷史
在這裡您可以為每個帳號維持一個歷史密碼記錄,使用者在註冊設定密碼時和修改密碼時將不能和所設定的歷史密碼相同,具體數量可在配置中設定。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對密碼歷史進行配置以及開啟/關閉。
各參數說明:
密碼歷史:當前密碼不可與多少個歷史密碼相同,如:5個。
啟用:開啟/關閉密碼歷史。
定期修改密碼
在這裡您可以設定是否強制定期修改密碼以及密碼有效周期。該周期由管理員在配置中進行設定,到達日期後,再次認證必須先通過修改密碼流程才可以訪問應用資源,請謹慎開啟。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對定期修改密碼進行配置以及開啟/關閉。
各參數說明:
密碼有效周期:選擇您當前密碼的有效使用期,可選擇10天,30天,60天,180天,360天。
啟用:開啟/關閉定期修改密碼。
密碼強度檢測
在這裡您可以設定一套適合您使用者的密碼強度,開啟之後將在使用者佈建和修改密碼時提示並要求使用者佈建符合您設定的強度的密碼。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對定期修改密碼進行配置以及開啟/關閉。
各參數說明:
最小長度:選擇您當前密碼的有效使用期,可選擇10天,30天,60天,180天,360天。
密碼複雜度:複雜度配置項如下:
必須包含大寫字母
必須包含小寫字母
必須包含數字0-9
必須包含特殊字元(!@ # $ % & * ~)
不能包含使用者名稱
不能包含姓名拼音
不能包含手機號碼
不能包含郵箱首碼
啟用:開啟/關閉定期修改密碼。
弱密碼檢測
在這裡您可以檢測系統使用者使用弱密碼情況,排除賬戶使用弱密碼的安全隱患,若開啟弱密碼檢測,使用者將在註冊設定密碼時或修改密碼時收到系統提示並無法設定弱密碼庫中可監測到的弱密碼。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對弱密碼檢測進行開啟/關閉。
已破解密碼檢測
IDaaS 會持續更新一個在互連網上已經被破解的密碼記錄,勾選此項後,使用者在註冊設定密碼時,修改密碼時系統會拒絕任何記錄在已破解密碼庫中的密碼。
通過控制台進行配置
操作步驟
以管理員帳號登入CIAM管理平台。
在卡片中對已破解密碼檢測進行開啟/關閉。