Passer au contenu principal
bloque le trafic provenant de toute adresse IP qui effectue rapidement un trop grand nombre de tentatives de connexion ou d’inscription. Cela contribue à protéger vos applications contre les attaques rapides visant plusieurs comptes. La limitation des IP suspectes est activée par défaut lorsque vous créez votre locataire Auth0. Lorsqu’Auth0 détecte un nombre élevé de tentatives d’inscription ou de tentatives de connexion échouées provenant d’une adresse IP, il répond aux tentatives suivantes avec le code d’état HTTP 429 Too Many Requests jusqu’à ce que cette adresse IP ne fasse plus l’objet d’une limitation. Pour en savoir plus sur les inscriptions et les tentatives de connexion échouées consignées par votre locataire, consultez Codes de type de journal.

Configurer Suspicious IP Throttling

Vous pouvez configurer Suspicious IP Throttling dans l’Auth0 Dashboard ou avec la Management API d’Auth0.
Auth0 recommande fortement de ne pas désactiver Suspicious IP Throttling.
  1. Accédez à Dashboard > Security > Attack Protection, puis sélectionnez Suspicious IP Throttling.
  2. Utilisez le bouton bascule en haut de la page pour activer ou désactiver Suspicious IP Throttling.
Paramètres de Suspicious IP Throttling dans Auth0

Autoriser des adresses IP de confiance à dépasser les limites de restriction

Vous pouvez exempter jusqu’à 100 adresses IP distinctes ou plages CIDR (IPv4 ou IPv6) de Suspicious IP Throttling en les ajoutant à la IP AllowList. Auth0 ne bloque pas les administrateurs du locataire et ne les avertit pas lorsque ces adresses IP dépassent les limites de restriction.
  1. Accédez à Dashboard > Security > Attack Protection, puis sélectionnez Suspicious IP Throttling.
  2. Dans le champ IP AllowList, saisissez les adresses IP ou plages CIDR pour lesquelles vous souhaitez autoriser un nombre illimité de tentatives de connexion et d’inscription. Séparez plusieurs adresses IP ou plages CIDR par des virgules.

Configurer la réponse

Par défaut, Auth0 envoie un courriel aux administrateurs du locataire lorsqu’une adresse IP est marquée comme suspecte. Vous pouvez configurer la façon dont Auth0 réagit aux tentatives de connexion ou d’inscription à un rythme élevé.
Si vous activez les fonctionnalités de protection contre les attaques sans activer de paramètres de réponse, le mode de surveillance est activé et seuls les événements connexes sont consignés dans le journal de votre locataire. Pour en savoir plus, consultez Afficher les événements du journal de protection contre les attaques.
  1. Accédez à Dashboard > Security > Attack Protection, puis sélectionnez Suspicious IP Throttling.
  2. Repérez la section Response.
  3. Dans la section Block Settings, activez Limit high-velocity traffic targeting too many accounts pour limiter le trafic provenant d’adresses IP qui dépassent le seuil de connexion ou d’inscription.
  4. Dans la section Notifications, activez Send notification to account administrator pour envoyer automatiquement un courriel aux administrateurs du locataire lorsqu’une adresse IP dépasse le seuil de connexion ou d’inscription.
  5. Sélectionnez Save.

Configurer les limites et les taux de limitation

Vous pouvez personnaliser la façon dont Auth0 applique une limitation aux adresses IP suspectes. Vous pouvez modifier :
  • Le nombre maximal de tentatives de connexion et d’inscription échouées autorisées à partir d’une adresse IP donnée.
  • La fréquence à laquelle les adresses IP limitées peuvent effectuer de nouvelles tentatives de connexion et d’inscription.
Pour en savoir plus sur le nombre maximal de tentatives, le taux de limitation et leur fonctionnement, consultez Fonctionnement de la limitation des IP suspectes.
  1. Accédez à Dashboard > Security > Attack Protection, puis sélectionnez Suspicious IP Throttling.
    Personnalisation de la limitation des IP suspectes dans l’Auth0 Dashboard
  2. Repérez la section Detection.
  3. Sélectionnez Custom pour Suspicious IP Thresholds.
  4. Configurez les paramètres de Login Threshold :
    • Maximum Attempts : Entrez le nombre de tentatives de connexion échouées qu’une même adresse IP peut effectuer en une journée avant qu’Auth0 bloque la tentative suivante.
    • Throttling Rate : Entrez le taux auquel de nouveaux jetons de connexion sont accordés.
  5. Configurez les paramètres de Signup Threshold :
    • Maximum Attempts : Entrez le nombre de tentatives d’inscription qu’une même adresse IP peut effectuer en une minute avant qu’Auth0 bloque la tentative suivante.
    • Throttling Rate : Entrez le taux auquel de nouveaux jetons d’inscription sont accordés.
  6. Sélectionnez Save.

Fonctionnement de la limitation pour les adresses IP suspectes

Auth0 comptabilise et autorise séparément les tentatives de connexion et d’inscription. Les adresses IP empêchées d’effectuer d’autres tentatives de connexion peuvent quand même essayer de s’inscrire. Les adresses IP empêchées d’effectuer d’autres tentatives d’inscription peuvent quand même essayer de se connecter.

Tentatives de connexion

Auth0 limite toute adresse IP qui effectue un trop grand nombre de tentatives de connexion infructueuses en une journée. Le taux de limitation des tentatives de connexion détermine combien de tentatives Auth0 accorde à une adresse IP, réparties uniformément sur une période de 24 heures. Par exemple, un taux de limitation de 100 signifie qu’Auth0 accorde une nouvelle tentative environ toutes les 15 minutes.

Tentatives d’inscription

Auth0 limite les adresses IP qui effectuent un trop grand nombre total d’inscriptions en une minute. Par exemple, si une adresse IP effectue 50 tentatives d’inscription, Auth0 bloque les tentatives suivantes. Contrairement aux tentatives de connexion, les tentatives d’inscription n’ont pas besoin d’être des échecs. Le taux de limitation des inscriptions détermine le nombre de tentatives d’inscription qu’Auth0 accorde à une adresse IP, de façon uniforme sur 24 heures. Par exemple, un taux de limitation de 72 000 signifie qu’Auth0 accorde une nouvelle tentative environ toutes les secondes.

Requêtes mal formées et erreurs de validation du schéma

Les requêtes de connexion et d’inscription qui ne respectent pas la structure ou le format attendus ne sont pas considérées comme des tentatives valides et ne comptent donc pas dans le seuil configuré. Pour en savoir plus sur les requêtes de connexion et d’inscription, consultez Auth0 Authentication API.

Cas particuliers

Étant donné que la limitation du débit pour les IP suspectes dépend de l’adresse IP de l’utilisateur, les cas d’utilisation suivants nécessitent une configuration supplémentaire :

En savoir plus