Захист від підбору паролів
1. Загальні положення
Захист від атак brute force є ключовим аспектом забезпечення безпеки для системи управління ідентифікацією та доступом, як Keycloak. Атаки brute force полягають у спробах несанкціонованого доступу шляхом безперервного підбору паролів, що може призвести до компрометації облікових записів. Щоб запобігти таким атакам, необхідно впровадити механізми, які обмежують кількість спроб входу та встановлюють часові затримки після невдалих спроб.
1.1. Кроки налаштування
-
Вхід в Адміністративну Консоль Keycloak
-
Виберіть openshift realm, для якого будуть здійснені налаштування.
-
У меню зліва виберіть "Realm Settings".
-
Перейдіть до вкладки "Security Defenses".
-
Нище перейдіть до вкладки "Brute Force Detection"
-
Увімкніть перемиках
-
Конфігурація параметрів
Постійне Блокування (Permanent Lockout): Не рекомендується включати постійне блокування, оскільки це може призвести до відмови у обслуговуванні та незручностей для користувачів.
Максимальна Кількість Невдалих Спроб Входу (Max Login Failures): 5 спроб
Збільшення Часу Очікування (Wait Increment): 300 секунд
Це часовий період, що додається до часу блокування після кожної невдалої спроби входу після досягнення порога максимальної кількості невдалих спроб.
Швидка Перевірка Входу (Quick Login Check): Рекомендоване значення 1000 мілісекунд (1 секунда)
Це мінімальний час між спробами входу. Установка його на 1 секунду може запобігти швидким автоматизованим атакам, не впливаючи значно на користувацький досвід.
Мінімальний Час Швидкого Входу (Minimum Quick Login Wait): 2 хвилини
Це мінімальний час очікування для спроби входу після невдачі.
Максимальний Час Очікування (Max Wait): 30 хвилин
Це максимальний час, протягом якого користувач буде заблокований після повторних невдач.
Час Скидання Невдач (Failure Reset Time): 12 годин
Це час, після якого кількість невдач для користувача скидається, якщо не було невдач.
