Protection contre les attaques exhaustives
La protection contre les attaques exhaustives permet d’éviter qu’une seule adresse IP n’attaque un seul compte d’utilisateur. Lorsqu’une adresse IP donnée essaie et échoue plusieurs fois à se connecter en tant que même utilisateur, une protection contre les attaques exhaustives est mise en place :
Bloque l’adresse IP suspecte et l’empêche de se connecter en tant qu’utilisateur.
Envoie une notification à l’utilisateur concerné.
Les mesures de protection contre les attaques par force brute s’appliquent à tous les utilisateurs, y compris les administrateurs locataires. Assurez-vous que votre locataire dispose d’un administrateur secondaire afin de débloquer les autres comptes administrateurs.
Si une adresse IP est bloquée en raison d’une protection contre les attaques exhaustives, elle reste bloquée jusqu’à ce que l’un des événements suivants se produise :
Un administrateur supprime le blocage.
Un administrateur augmente le Seuil de protection contre les attaques exhaustives décrit ci-dessous.
Trente (30) jours se sont écoulés depuis la dernière tentative de connexion échouée.
L’utilisateur concerné sélectionne le lien de déblocage dans la notification par courriel (si elle est configurée).
L’utilisateur concerné modifie son mot de passe (sur tous les comptes liés).
Dans les cas où le compte d’un utilisateur (courriel) est associé via plusieurs connexions, comme un compte OTP et un compte de base de données, et que l’utilisateur change le mot de passe d’un seul compte, le blocage ne sera pas supprimé. L’utilisateur doit modifier son mot de passe pour chaque compte (type de connexion).
Configurer la protection contre les attaques exhaustives
Auth0 recommande vivement de ne pas désactiver la protection contre les attaques exhaustives pour la connexion. Si vous le désactivez, vous pouvez le réactiver en utilisant le Dashboard.
Si vous activez les fonctionnalités de protection contre les attaques sans activer de paramètres de réponse, vous activez le mode de supervision, qui enregistre les événements connexes dans le journal de votre locataire uniquement. Pour en savoir plus, consultez Voir les événements de journaux de la protection contre les attaques.
Accédez à Dashboard > Sécurité > Protection contre les attaques et sélectionnez Protection contre les attaques exhaustives. Activez le bouton à bascule en haut de la page s’il est désactivé.
Dans la section Détection :
Sous Seuil de protection contre les attaques exhaustives, sélectionnez Défaut pour utiliser la limite standard de 10 tentatives maximales, ou sélectionnez Personnaliser pour définir la limite du nombre maximum de tentatives à une valeur comprise entre 1 et 100.
Sous Gérer les adresses IP, saisissez la liste des adresses IP de confiance dans le champ Liste blanche d’adresses IP. La protection contre les attaques exhaustives ne sera pas appliquée aux tentatives de connexion provenant de ces adresses IP.
Dans la section Réponse :
Sous Paramètres de blocage, activez le bouton à bascule Bloquer les connexions contre les attaques exhaustives, pour bloquer les tentatives provenant d’adresses IP suspectes afin de vous protéger contre les attaques exhaustives qui se produisent à partir d’une seule adresse IP et ciblent un seul compte utilisateur.
Sous Paramètres de blocage, activez Verrouillage du compte pour déclencher des blocages indépendamment de l’adresse IP. Lorsque ce paramètre est activé et qu’un utilisateur tente consécutivement de se connecter sans y parvenir, les futures tentatives de connexion de cet utilisateur à partir de n’importe quelle adresse IP seront bloquées. Vous pouvez régler le nombre de tentatives maximales sous Seuil de protection contre les attaques par force brute. Par défaut, le bouton à bascule Verrouillage du compte est désactivé.
Sous Notifications, activer le bouton à bascule Envoyer des notifications aux utilisateurs concernés, pour envoyer une notification par courriel à l’utilisateur lorsque son compte a été bloqué.
Cliquez sur Enregistrer.
Notifications
Si Send notifications to the affected users (Envoyer des notifications aux utilisateurs concernés) est activé, Auth0 envoie une notification par SMS ou par courriel à l’utilisateur lorsque son compte a été bloqué.
SMS
Auth0 envoie un SMS à l’utilisateur s’il utilise un identifiant de téléphone dans le flux de connexion. Les notifications SMS sont limitées à un maximum de 1 SMS par heure et par identifiant.
Courriel
Auth0 envoie un courriel à l’utilisateur s’il utilise un identifiant autre que le téléphone dans le flux de connexion. Les notifications par courriel sont limitées à un maximum de 1 courriel par heure par adresse IP unique.
Par défaut, les notifications par courriel contiennent un lien qui permet à l’utilisateur de débloquer son compte. Pour en savoir plus, lisez Personnaliser les courriels envoyés aux comptes bloqués.
Cas particuliers
Comme la protection contre les attaques par force brute dépend de l’adresse IP de l’utilisateur, les cas d’utilisation suivants nécessitent une configuration supplémentaire :
(Resource Owner Password Grant - ROPG (Subvention du Propriétaire de la Ressource) sur le système dorsal : L’utilisation de cette requête ne permet pas d’obtenir l’adresse IP de l’utilisateur; cependant, pour que la protection contre les attaques exhaustives fonctionne correctement, vous pouvez configurer votre application et envoyer l’adresse IP de l’utilisateur dans le cadre de la requête.
Authentification de l’utilisateur à partir de la même adresse IP : Les utilisateurs qui se trouvent derrière un proxy sont plus susceptibles d’atteindre les limites fixées et de déclencher une protection contre les attaques exhaustives.
Pour en apprendre davantage, veuillez consulter Éviter les problèmes courants liés au flux de mot de passe du propriétaire de ressource et à la protection contre les attaques.