Blokování uživatelských účtů při nesprávném přihlášení

V celkové konfiguraci FormFlow lze nastavit, aby po nesprávném přihlášení k uživatelskému účtu libovolného uživatele (chybně zadanému heslu) se přístup k tomuto účtu na určitou dobu (tedy dočasně) zablokoval a znemožnily se tak další pokusy o přihlášení.

Parametry této funkce se nastavují v okně Požadavky na hesla, které otevřete z karty SPRÁVA  Uživatelé  Požadavky na hesla.

Aby nastavené parametry pro ochranu hesel byly aktivní jako celek (to se netýká jen blokování při nesprávném přihlášení), musí být v tomto okně zaškrtnuté políčko Požadavky na hesla jsou aktivní.

image957

K dočasnému zablokování přístupu účtu podle dále nastavených parametrů pak dojde jen tehdy, pokud je zaškrtnuto políčko dočasně uzamknout uživatelský účet, pokud je při přihlašování k němu zadáno nesprávné heslo v dolní části okna.

image958

Uživateli se v případě dočasného uzamčení (zablokování) účtu zobrazí zpráva Přihlášení se nepodařilo. K tomuto uživatelskému účtu se až do dd.mm.rrrr hh:mm nelze přihlásit, protože při pokusu o přihlášení bylo zadáno nesprávné heslo. Po uplynutí této doby se uživatel může opět zkusit přihlásit.

Jako parametry pro blokování se nastavují:

  • Limit neúspěšných přihlášení – nejvyšší počet neúspěšných pokusů o přihlášení, které mohou být provedeny, aniž by se spustila ochrana dočasným zablokováním účtu uživatele.

  • Intervaly dočasného blokování – časové prodlevy zablokování účtu po dosažení limitu počtu neúspěšných přihlášení. Seznam intervalů umožňuje se zvyšujícím se počtem neúspěšných pokusů o přihlášení prodlužovat interval blokace.

Obě hodnoty se nastavují pomocí ovladačů v okně Požadavky na hesla.

Volič Limit neúspěšných přihlášení umožní nastavit počet neúspěšných přihlášení pomocí hesla, při kterých se ještě nebude dočasně uzamykat uživatelský účet.

Pokud zadáte nulovou hodnotu, znamená to, že účet se zamkne hned po prvním neúspěšném pokusu o přihlášení, hodnota 1 znamená, že se účet zamkne po druhém neúspěšném přihlášení, při nastavení hodnoty 2 se účet zamkne po třetím neúspěšném pokusu, atd.

Pole Intervaly dočasného uzamčení umožní nastavit časové intervaly, po které má byt účet dočasně uzamčen po neúspěšném přihlášení pomoci hesla. Jde o seznam parametrů oddělených středníkem. Každá hodnota se skládá z celého kladného čísla (počtu časových jednotek) následovaného (bez mezery) znakem vyjadřujícím časovou jednotku (M = minuty, H = hodiny a D = dny). Tak třeba parametr zapsaný jako 30M znamená zablokování účtu na dobu 30 minut).

Interval na n-tém místě seznamu určuje, na jak dlouhou dobu bude uzamčen účet po n-tém neúspěšném přihlášení pomoci hesla.

Neúspěšné přihlášení se vyhodnocuje s ohledem na nastavení parametru Limit neúspěšných přihlášení. Pokud je zde například nastavena hodnota 3, může se uživatel pokusit třikrát neúspěšně přihlásit bez dočasného zablokování účtu. Pokud se přihlásí neúspěšně i po čtvrté, dojde k první blokaci účtu podle dále nastaveného prvního parametru v seznamu intervalů.

Příklad: pokud do pole intervaly dočasného uzamčení zapíšete například řetězec
1M;5M;10M;30M;1H;2H;6H;12H;1D
znamená to, že po prvním neúspěšném přihlášení bude účet zamčen na jednu minutu, po druhém na pět minut, po třetím na 10 minut, po čtvrtém na 30 minut. Po pátém neúspěšném přihlášení dojde k zamčení na hodinu, po šestém dvě hodiny, po sedmém šest hodin a po osmém dvanáct hodin. Pokud se uživatel neúspěšně přihlásí do deváté, bude jeho účet zamčen celý jeden den.

Jestliže se uživatel bude chtít přihlásit v době, kdy je účet blokován (a se správným heslem!), zobrazí se mu zpráva o blokaci, ale její interval se nenavýší. V opačném případě (zadá opětovně nesprávné heslo), se interval navýší o další nastavenou hodnotu.

Pokud se uživateli po skončení limitu blokace podaří přihlásit správným heslem, tak případné další chybné pokusy při příštím přihlašování jsou počítány opět od začátku seznamu parametrů.

Seznam všech neúspěšných přihlášení pomocí hesla

Seznam neúspěšných přihlášení otevřete z karty SPRÁVA klepnutím na tlačítko Uživatelé a spuštěním příkazu Seznam neúspěšných přihlášení pomocí hesla. Příkaz i seznam může vidět a promazávat jen uživatel, který má k tomu potřebné právo.

image306

Seznam je možné obvyklým způsobem filtrovat a také třídit podle jednotlivých sloupců.

Stiskem tlačítka Smazat přihlášení starší než měsíc bude seznam neúspěšných přihlášení redukován jen na položky, které nejsou starší než jeden měsíc. O úspěšném provedení akce je zobrazena zpráva Starší přihlášení byla smazána. Smazat údaje o neúspěšných přihlášeních mladších než jeden měsíc nelze.

image307

Seznam všech dočasně blokovaných uživatelských účtů

Seznam dočasně blokovaných uživatelských účtů otevřete z karty SPRÁVA klepnutím na tlačítko Uživatelé a spuštěním příkazu Seznam dočasně blokovaných uživatelských účtů. Příkaz i seznam může zobrazit a prohlížet jen uživatel, který má k tomu potřebné právo.

Pro větší bezpečnost uživatelských hesel totiž může administrátor předepsat podmínky jejich používání. Volba Dočasně uzamknout uživatelský účet, pokud je při přihlašování k němu zadáno nesprávné heslo bude mít za následek zde popisované dočasné zablokování účtu uživatele, který se pokoušel přihlásit pod nesprávným jménem a/nebo heslem. Účet může pak odblokovat na žádost uživatele jen administrátor.

V seznamu blokovaných účtů je možno filtrovat podle IP adresy (údaj REMOTE_ADDR_LCAC), podle loginu (údaj DOMAIN_AND_LOGIN_NAME_LCAC) a podle toho, zda je daná dvojice nyní dočasně blokovaná (tzn., podle hodnoty ve sloupci ACCOUNT_LOCKED_UNTIL_LCAC – hodnota NULL znamená "neblokováno", hodnota typu DATETIME znamená "blokováno až do daného data a času"). V seznamu bude de facto zobrazen obsah tabulky XG_LCAC. Seznam musí být možno setřídit podle kteréhokoliv údaje.

image308

U každého záznamu je ve sloupci Akce tlačítko se symbolem lupy, jehož pomocí lze pro uvedenou kombinaci IP adresy a přihlašovacího jména zobrazit seznam neúspěšných přihlášení. Seznam se zobrazí v samostatném modálním okénku Seznam neúspěšných přihlášení.

image959

Zobrazení blokovaného účtu konkrétního uživatele

Administrátor vidí informaci o blokaci konkrétního účtu v administraci uživatelů přímo u popisu účtu konkrétního uživatele v sekci Blokované přihlášení. Zrušení blokace lze docílit změnou hesla – pak se uživatel může ihned přihlásit.

V detailním popisu uživatele můžete jako administrátor zobrazit seznam IP adres, ze kterých je přihlášení k tomuto účtu v dané chvíli blokováno. Seznam uživatelů otevřete volbou SPRÁVA  Uživatelé  Uživatelé. V něm vyhledejte (třeba s pomocí filtrace obsahu) konkrétního uživatele a v jeho položce klepněte ve sloupci Akce na tlačítko Upravit uživatele.

image960

V následujícím okně zobrazujícím detailní informace o uživateli otevřete kartu Blokované přihlášení.

V seznamu bude zobrazeno, ze kterých IP adres (REMOTE_ADDR_LCAC) je přihlášení blokováno, jak dlouho je blokováno (ACCOUNT_LOCKED_UNTIL_LCAC (pozor, pokud je hodnota NULL, pak to znamená, že z této IP adresy přihlášení blokováno není) a kolikrát za sebou bylo z té IP adresy provedeno přihlášení se špatným heslem (FAILED_LOGINS_COUNT_LCAC). Podle všech těchto hodnot lze seznam setřídit a filtrovat. Seznam mohou vidět jen ti uživatelé, kteří mají na to právo.

image961

Zrušení blokace zadáním nového hesla

Administrátor je schopný změnit uživateli přístupové heslo a tím blokaci zrušit. Heslo lze změnit na kartě SPRÁVA  Uživatelé  konkrétní uživatel  karta Změna hesla nebo certifikátu.

image962