ابهام در Account Lockout Policy
سلام، وقت بخیر
در تنظیمات Account Lockout Policy
چرا Reset account lockout counter after باید مساوی و یا کوچکتر از Account lockout duration باشد؟
چه منطقی پشت این سوار هست؟ ممنون میشم توضیح بدید
3 پاسخ
سلام، بنده موضوع رو درک کردم، ولی خب بازم متوجه نشدم
من به عنوان مثال میخوام تعریف کنم اگر در 1 ساعت 60 با پسوورد اشتباه وارد کرد، اکانتش به مدت 1 روز قفل بشه
ولی زمان زیاد رو تعیین کردم، اینجا اون شانس مهاجم به نظرم منطقی نیست
آیا تنها دلیلش همین هست که شما فرمودید یا ممکن هست دلایل دیگری هم داشته باشه؟
سلام ، دلیلش اینه که باید برای یوزر فرصت بدیم تا پسورد رو وارد کنه برای لاگین شدن. طبیعتا هر چقدر مدت زمان Reset account lockout counter after نزدیک تر باشه به Account lockout duration ریسک پذیری کمتر میشه. شما فرض کنید تعریف کردید اگه یوزر سه بار پسورد رو اشتباه وارد کرد به مدت 30 دقیقه اکانتش Lock بشه. حالا اگه مقدار Reset account lockout counter after رو برابر مثلا 5 دقیقه بزارید توی 30 دقیقه میتونه 18 بار پسورد رو وارد کنه و شانس مهاجم برای لاگین شدن زیادتر میشه.
به نظر من دلیلش همین هست که خدمتتون گفتم.