Définition d'une stratégie de verrouillage de compte

La page Stratégie de blocage de compte de la console d'administration vous permet de configurer une stratégie de blocage de compte pour différents rôles utilisateur dans HCL Commerce . Elle répertorie toutes les stratégies de blocage de compte existantes, y compris les stratégies prédéfinies fournies par défaut avec HCL Commerce. Une stratégie de blocage de compte verrouille ou désactive un compte utilisateur si des actions malveillantes sont entreprises contre ce compte afin de réduire le risque que ces actions n'endommagent le compte.

Une stratégie de blocage de compte met en oeuvre les valeurs suivantes :
  • Le seuil de blocage du compte. Il s'agit du nombre de tentatives de connexion incorrectes avant que le compte ne soit désactivé. Si vous définissez un nombre trop bas, vous risquez de bloquer des utilisateurs légitimes qui se sont trompé lors de la saisie de leur mot de passe ou qui ne se souviennent plus de leur mot de passe, ce qui aurait éventuellement pour conséquence d'alourdir la charge de travail de votre équipe de représentants du service clientèle si un agresseur informatique essayait de débloquer plusieurs comptes. Si vous définissez un nombre trop élevé, vous évitez les risques décrits précédemment, mais cela aura pour conséquence de rendre votre site vulnérable en cas d'attaque brutale visant à deviner les mots de passe. Choisissez un seuil adapté à vos exigences en matière de sécurité.
  • Le délai entre tentatives de connexion consécutives. Il s'agit du laps de temps durant lequel l'utilisateur n'est pas autorisé à se connecter, après deux tentatives de connexion incorrectes. Le délai est incrémenté par la valeur du délai configurée (par exemple, 10 secondes) pour tout échec de connexion consécutif.
Remarque :
  • Le verrouillage de compte ne fonctionne pas avec LDAP activé.
  • HCL Commerce Version 9.1.6.0 or laterUne fois le seuil de verrouillage du compte atteint, le compte utilisateur est verrouillé. Les utilisateurs du site peuvent réinitialiser leur mot de passe et déverrouiller le compte à l'aide du flux de fonctionnalité Mot de passe oublié. Avant la version 9.1.6.0, le compte utilisateur était désactivé et ne pouvait pas être réactivé par l'utilisateur du site.

Procédure

  1. Ouvrez la console d'administration et sélectionnez Site dans la page Console d'administration - Sélection de site/magasin.
  2. Cliquez sur Sécurité > Stratégie de blocage de compte.
  3. La page Stratégies de blocage de compte répertorie toutes les stratégies de blocage de compte existantes. Sur cette page :
    • Vous pouvez créer une nouvelle stratégie en cliquant sur Créer.
      1. Entrez le nom de la nouvelle stratégie dans la zone Nom (par exemple, my_policy).
      2. Entrez un seuil de blocage de compte dans la zone Seuil de blocage du compte. Par exemple, entrez 6 (pour six tentatives).
      3. Entrez le délai (en secondes) entre deux tentatives incorrectes consécutives dans la zone Temps d'attente. Par exemple, entrez 10 (pour 10 secondes).
      4. Cliquez sur OK.
    • Vous pouvez modifier les caractéristiques de stratégies existantes en les sélectionnant dans la liste et en cliquant sur Modifier.
    • Vous pouvez supprimer des stratégies existantes en les sélectionnant dans la liste et en cliquant sur Supprimer.
      Remarque :
      1. Vous ne pouvez pas supprimer une stratégie de blocage de compte en cours d'utilisation (c'est-à-dire qui est affectée à un utilisateur).
      2. Les stratégies de blocage de compte sont mises en oeuvre uniquement si les utilisateurs sont authentifiés auprès de la base de données HCL Commerce.