Saltar al contenido principal
La protección contra ataques de fuerza bruta determina cómo responde Auth0 ante múltiples intentos fallidos de iniciar sesión en una cuenta de usuario desde una misma dirección IP. Puede configurar la protección contra ataques de fuerza bruta para lo siguiente:
  • Bloquear la dirección IP de origen para que no pueda iniciar sesión como ese usuario
  • Impedir cualquier intento de inicio de sesión de ese usuario
  • Notificar al usuario por correo electrónico o SMS
De forma predeterminada, la protección contra ataques de fuerza bruta está habilitada cuando crea un inquilino de Auth0. La protección contra ataques de fuerza bruta se aplica a todos los usuarios, incluidos los administradores del inquilino. Recomendamos encarecidamente mantener habilitada la protección contra ataques de fuerza bruta para sus conexiones y contar con un administrador secundario del inquilino para poder desbloquear otras cuentas de administrador.

Configurar la protección contra ataques de fuerza bruta

Puede habilitar, personalizar y deshabilitar la protección contra ataques de fuerza bruta desde Dashboard > Security > Attack Protection > Brute-force Protection, que incluye la siguiente configuración:
  • El interruptor situado en la parte superior de la página habilita o deshabilita la protección contra ataques de fuerza bruta. El estado actual se muestra en el indicador de estado Enabled / Disabled.
  • La sección Detection contiene la configuración del umbral de fuerza bruta y de la lista de IP permitidas.
  • La sección Response contiene la configuración de bloqueo y de notificaciones.
Si habilita la protección contra ataques de fuerza bruta, pero deshabilita toda la configuración de respuesta, el indicador de estado cambia a Monitoring y Auth0 registra eventos de protección contra ataques en el registro de su inquilino, pero no realiza ninguna otra acción.
Para garantizar que la protección contra ataques de fuerza bruta funcione al usar el flujo Resource Owner Password (ROP), debe configurar su aplicación para enviar la dirección IP del usuario mediante el encabezado auth0-forwarded-for.

Umbral de fuerza bruta

El umbral de fuerza bruta es la cantidad de intentos de inicio de sesión fallidos permitidos desde una sola dirección IP para un único identificador de usuario antes de que se active la protección contra ataques de fuerza bruta. Hay dos opciones:
  • Default establece el umbral de fuerza bruta en 10.
  • Custom le permite establecer el umbral de fuerza bruta en un valor de entre 1 y 100.
Inmediatamente después de completar el procesamiento del intento de inicio de sesión fallido que alcanza el umbral de fuerza bruta especificado, aplicamos las protecciones de mitigación de ataques que haya seleccionado. Al usar un SDK de Auth0 con métodos asíncronos, un identificador de usuario puede enviar de forma sucesiva a su aplicación más solicitudes de autenticación que el umbral de fuerza bruta configurado. Sin embargo, una vez que una solicitud alcanza el umbral de fuerza bruta, respondemos a las solicitudes posteriores de ese identificador de usuario con un error HTTP 429 too_many_attempts.

Lista de IP permitidas

La lista de IP permitidas es una lista de direcciones o rangos IPv4 o IPv6 en notación CIDR, separados por comas. Los intentos de inicio de sesión procedentes de direcciones IP incluidas en la lista de IP permitidas están exentos de la protección contra ataques de fuerza bruta. Puede usar la lista de IP permitidas para especificar direcciones o rangos de IP de confianza en situaciones como cuando hay usuarios detrás de un proxy.

Configuración de bloqueo

La configuración de bloqueo de la protección contra ataques de fuerza bruta determina si Auth0 bloquea intentos de inicio de sesión adicionales en una cuenta de usuario específica cuando se activa la detección de fuerza bruta, y cómo lo hace. Hay dos opciones:
  • Block Brute-force Logins bloquea los intentos de inicio de sesión adicionales para el identificador de usuario especificado desde la dirección IP que activó la protección contra ataques de fuerza bruta. Esta opción está habilitada de forma predeterminada.
  • Account Lockout bloquea todos los intentos de inicio de sesión para el identificador de usuario especificado. Esta opción está deshabilitada de forma predeterminada.

Notificaciones

Si Enviar notificaciones a los usuarios afectados está habilitado, Auth0 envía una notificación por SMS o correo electrónico al usuario cuando su cuenta ha sido bloqueada. Auth0 envía un SMS al usuario si utiliza un identificador de teléfono en el flujo de inicio de sesión. Las notificaciones por SMS están limitadas a un máximo de 1 por hora por identificador. Auth0 envía un correo electrónico al usuario si tiene una dirección de correo electrónico asociada a su cuenta. Las notificaciones por correo electrónico están limitadas a un máximo de 1 por hora por dirección IP única. De forma predeterminada, los correos electrónicos de notificación de cuenta bloqueada contienen un enlace que permite al usuario desbloquear su cuenta.

Eliminar los bloqueos de protección contra ataques de fuerza bruta

Los bloqueos de protección contra ataques de fuerza bruta siguen vigentes hasta que ocurra uno de los siguientes eventos.
  • Transcurren treinta (30) días desde el último intento fallido de inicio de sesión.
  • Un administrador elimina el bloqueo de protección contra ataques de fuerza bruta con la Management API mediante uno de los siguientes endpoints:
Los bloqueos del administrador del inquilino se gestionan por separado de los bloqueos de protección contra ataques de fuerza bruta. Obtenga más información sobre cómo eliminar los bloqueos del administrador del inquilino.
  • Un administrador aumenta el umbral de fuerza bruta.
  • El usuario afectado selecciona el enlace de desbloqueo en la notificación por correo electrónico, si está configurada.
  • El usuario afectado cambia su contraseña. Si la cuenta de un usuario está vinculada mediante varios tipos de conexión, como una cuenta OTP y una cuenta de base de datos, debe cambiar su contraseña en todas las cuentas vinculadas para eliminar el bloqueo.

Más información