问题标签 [lockout]

我必须为我当前的 ASP .Net 项目创建一个自定义成员资格提供程序，以适应我们的数据库模式，并且在配置它以锁定用户时遇到问题，如果用户密码错误三次，如支持标准提供者。

这是我需要自己实现的东西，还是应该得到固有的支持？

我没有专门处理它的代码（并且似乎没有一个接口成员专门处理它），但是如果我需要自己实现它，我该如何通知用户他们被锁定了？我是否需要在 ValidateUser 中引发某种异常？

解决方案

遗憾的是，我无法标记两个答案，Dave R 提供的链接深入了解了会员的工作原理，而 Zhaph 指出的正是我最终要做的，处理自定义会员提供程序中的锁定逻辑。

然后，我通过使用 Login 控件的 LoginError 事件来处理错误情况，并在那里签入以查看用户是否被锁定以显示适当的错误消息。

在锁定用户之前，我们需要将登录尝试次数设置为 3。似乎默认值为 5。如何在 Weblogic 10.0 中更改此值？

我使用RFC 4226为我的网站实施了一次性密码系统。此密码通过 SMS 发送到移动设备。用户只能在移动设备上接收密码，密码在 15 分钟后过期。

用户还拥有通常使用的标准字母数字“主密码”。我已经实施了 3 次失败锁定工作流程。此锁定持续 15 分钟。

我的问题是从安全的角度来看，只锁定“主密码”是否可以接受？如果用户使用一次性密码功能，我应该允许用户绕过锁定策略吗？我是否打开了任何类型的安全漏洞？

我目前正在开发一个系统，该系统具有一个功能，客户可以通过提供 PIN“号码”来查看他们的购买/续订/等详细信息。

由于我们所针对的客户类型，使用 PIN 代替登录信息。PIN 印在发送给他们的文件上。

他们提供 PIN 时显示的视图不会显示信用卡等高度敏感的信息，但会显示产品名称、类型、价格、条形码、维修等不太敏感的信息。

有问题的问题是PIN。我选择使用随机的 5 个字符 PIN（0-9，az AZ） - 区分大小写。我将删除一些同形文字（'I'、'1'、'l'、'0'、'O'、'rn'、'vv'），因此实际的组合数量实际上更少。

我对此有几个问题：

1. 这种做法是否可以接受？
2. 我是否应该编写一个锁定机制来“禁止”来自具有大量失败尝试的 IP 的流量？*
3. 我应该编写一个错误检查系统（类似于 Luhn 的信用卡号码算法）吗？
4. *我应该使用验证码系统吗？

我希望我的 java 应用程序在特定超时后锁定 Windows 桌面。我有一个工作正常的计时器，但我似乎无法执行锁定工作站的命令。

这有什么错误吗？或者也许有更简单的方法来做到这一点？

我使用了“要求用户名/密码+注册的批处理文件”中的脚本（stackoverflow中已经有主题）......这是我的问题：有什么方法可以将锁定添加到批处理文件或执行关机5 次错误尝试后的命令？（底部超时为24小时） 示例情况： 用户名：bobTESTattempt1 密码：1234 [输入] 密码不正确，还剩4次尝试！

（使用接下来的 3 次尝试）

用户名：bobTestattempt5 密码 123342 [enter] 密码不正确，剩余 0 次尝试！[进入]

帐户锁定超时 86400

我刚刚使用Liferay完成了一个客户网站的实施。该服务运作良好。改进的机会之一是减少来自被锁定客户的电话数量；我们的限制是 5。这个想法是向将在下次尝试时被锁定的客户发出警告，并建议他们改用“忘记密码”工作流程。

请注意，我们定义了 auth.pipeline.pre=our-class。在处理身份验证时，我可以轻松读取用户记录并找出尝试了多少次失败的登录；我不知道该怎么做会导致Liferay 登录操作处理程序注册一个可以被login.jsp检测到的异常。我怀疑这可能很难，因为我的auth.pipeline.pre=our-class类只能返回 3 个值，而且它们都没有所需的语义。

提前感谢您的帮助。

下面的代码应该尝试连接到我列表中的一台服务器。我的问题是会尝试所有这些组合锁定帐户吗？

uid = some1 pwd = 1thing

我的 ivy.xml 中有多个依赖项，并且正在使用 ivysvn 传递用户名和密码。

如果密码输入错误，那么由于有多个依赖项，身份验证失败多次，所以我现在被锁定在颠覆之外。

有没有办法，我可以强制它首先检查解析器凭据，或者在第一个依赖项失败时退出 - 这样我就不会被锁定？

在 5 次无效用户名或密码尝试后，如何防止用户登录 odoo (openerp) 系统。

我找到了解决问题的方法，即在我的系统上安装验证码 ( https://apps.openerp.com/apps/modules/7.0/web_captcha/ )，但我不再需要验证码了。