本文档详细介绍了CIAM平台的风险控制功能,涵盖针对IP、账户和密码的三大类安全措施,旨在提升身份认证的安全性。
概述
随着用户数和访问频率的急剧增长,为了保障身份认证的安全性,CIAM提供了最基本的认证访问风险控制来为您用户的身份认证提供安全保障。
CIAM将风险控制分为三大类:
针对IP
针对账户
针对密码
针对IP
IP失败次数
您可以在此配置对同一IP在一定时间范围内的连续认证失败的次数限制,超出限制的次数后,必须输入图形验证码才能继续操作。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对IP失败次数的控制进行配置以及开启/关闭。
点击配置来对IP失败次数中的参数进行一系列的配置。
各参数说明:
时间范围:认证失败次数的计数时间范围,如:默认为 5 分钟。
认证失败次数:认证失败次数范围。
启用:开启/关闭IP失败次数功能。
IP黑名单
您可以在此配置全局 IP 黑名单,即对所有应用生效,IP 黑名单列表中的地址发起的所有请求将被拒绝访问。拒绝范围包括认证、用户、管理等类型的接口,请谨慎使用。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对IP黑名单进行配置以及开启/关闭。
点击配置来对IP黑名单中的参数进行一系列的配置。
各参数说明:
黑名单IP列表:IP 黑名单内的地址将无法使用所有应用的 Client_ID, Client_Secret 以及对应的Access_Token去调用接口。
启用:开启/关闭IP黑名单功能。
IP白名单
您可以在此跳转到应用界面配置 IP 白名单,配置后将只允许该应用白名单 IP 列表中地址发起的请求,所有其他 IP 发起将会被拒绝。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对IP黑名单进行配置以及开启/关闭。
点击前往应用页面配置来对IP白名单中的参数进行一系列的配置。
在应用列表中选择需要进行操作的应用,点击IP白名单配置。
各参数说明:
IP白名单:启用白名单后,白名单中的 IP 地址发起的接口请求才会被执行,如:白名单中未填写IP(空白) 所有 IP 地址发起的接口请求都可以执行。
启用白名单:开启/关闭IP白名单功能。
访问位置的异常检查(IP跨省发提示邮件)
若同一用户连续两次认证尝试之间的位置异常(地理位置由IP地址转换得来),IDaaS将会给用户发送短信提醒,此功能需提前再短信模板中进行配置。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中开启/关闭访问位置异常检查。
账户
账密防暴 图形验证码
在这里您可以对同一账户在一定时间范围内的以用户名/手机号/邮箱+密码的形式认证失败的次数进行图形验证码控制,阻拦彩虹表进攻等暴力破解方式。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对账密防暴启动图形验证码进行配置以及开启/关闭。
各参数说明:
时间范围:认证失败次数的计数时间范围,如:默认为 5 分钟。
认证失败次数:认证失败次数范围,如果设置为 0 次,则强制开启图形验证码。
启用:开启/关闭账密防暴启动图形验证码功能。
账密防暴 频率限制
在这里您可以对同一账户在一定时间范围内的以用户名/手机号/邮箱+密码的形式认证失败的次数进行频率限制,阻拦机器访问,彩虹表进攻等暴力破解方式。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对账密防暴对频率的限制进行配置以及开启/关闭。
各参数说明:
时间范围:认证频率次数的计数时间范围,如:5分钟。
频率次数:认证频率的次数范围,如:2次。
锁定时间范围:锁定时间范围,如:5分钟。
启用:开启/关闭账密防暴频率限制功能。
短信/邮件防暴 图形验证码
在这里您可以针对发送短信时的人机校验进行图形验证码控制,防止机器刷发短信,避免损失。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对短信/邮件防暴启动图形验证码进行配置以及开启/关闭。
各参数说明:
时间范围:认证频率次数的计数时间范围,如:5分钟。
认证失败次数:认证失败的次数范围,如:当在设定的时间范围内连续认证失败2次,则强制开启图形验证码。
启用:开启/关闭短信/邮件防暴 图形验证码功能。
短信/邮件防暴 频率限制
在这里您可以针对发送短信时的人机校验进行频率限制,防止机器刷发短信,避免损失。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对短信/邮件防暴频率的限制进行配置以及开启/关闭。
各参数说明:
时间范围:认证频率次数的计数时间范围,如:5分钟。
频率次数:认证频率的次数范围,如:2次。
锁定时间范围:锁定时间范围,如:5分钟。
启用:开启/关闭短信/邮件防暴 频率限制。
登录防暴 短信限制
在这里您可以针对同一登录流程对短信/邮件验证码的验证次数限制,防止验证码丢失导致的认证风险。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对登录防暴对短信的限制进行配置以及开启/关闭。
各参数说明:
验证次数:验证次数的计数范围,如:3次,超过3次后当前验证码将失效。
启用:开启/关闭登录防暴短信限制功能。
认证频率限制
在这里您可以配置对同一账户在一定时间范围内的认证次数限制(无论成功或失败),防止机器人代理,提高账户安全。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对登认证频率的限制进行配置以及开启/关闭。
各参数说明:
时间范围:认证频率次数的计数时间范围,如:5分钟。
认证频率次数:认证频率的次数范围,如:2次。
锁定时间范围:锁定时间范围,如:5分钟。
启用:开启/关闭认证频率限制。
密码
密码历史
在这里您可以为每个账号维持一个历史密码记录,用户在注册设置密码时和修改密码时将不能和所设置的历史密码相同,具体数量可在配置中设置。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对密码历史进行配置以及开启/关闭。
各参数说明:
密码历史:当前密码不可与多少个历史密码相同,如:5个。
启用:开启/关闭密码历史。
定期修改密码
在这里您可以设定是否强制定期修改密码以及密码有效周期。该周期由管理员在配置中进行设置,到达日期后,再次认证必须先通过修改密码流程才可以访问应用资源,请谨慎开启。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对定期修改密码进行配置以及开启/关闭。
各参数说明:
密码有效周期:选择您当前密码的有效使用期,可选择10天,30天,60天,180天,360天。
启用:开启/关闭定期修改密码。
密码强度检测
在这里您可以设置一套适合您用户的密码强度,开启之后将在用户设置和修改密码时提示并要求用户设置符合您设定的强度的密码。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对定期修改密码进行配置以及开启/关闭。
各参数说明:
最小长度:选择您当前密码的有效使用期,可选择10天,30天,60天,180天,360天。
密码复杂度:复杂度配置项如下:
必须包含大写字母
必须包含小写字母
必须包含数字0-9
必须包含特殊字符(!@ # $ % & * ~)
不能包含用户名
不能包含姓名拼音
不能包含手机号码
不能包含邮箱前缀
启用:开启/关闭定期修改密码。
弱密码检测
在这里您可以检测系统用户使用弱密码情况,排除账户使用弱密码的安全隐患,若开启弱密码检测,用户将在注册设置密码时或修改密码时收到系统提示并无法设置弱密码库中可监测到的弱密码。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对弱密码检测进行开启/关闭。
已破解密码检测
IDaaS 会持续更新一个在互联网上已经被破解的密码记录,勾选此项后,用户在注册设置密码时,修改密码时系统会拒绝任何记录在已破解密码库中的密码。
通过控制台进行配置
操作步骤
以管理员账号登录CIAM管理平台。
在卡片中对已破解密码检测进行开启/关闭。
