Blockierung von Konten oder IP Adressen.

• (1) Aktiviere das Blockieren von Konten
  nach der in (2) definierten Anzahl fehlgeschlagener Anmeldungen.
• 3) Trotz Benutzersperrung eine Anmeldung zulassen,
  sofern die IP Adresse der Sitzung mit derjenigen der letzten Anmeldung übereinstimmt und davon in unter den in (4) definierten Dauer kein fehlgeschlagener Anmeldeversuch erfolgt ist.

• (5) und (6)
  IP Adressen für die definierte Dauer sperren, wenn innerhalb des Zeitraums die maximale Anzahl erfolgloser Anmeldeversuche oder Prüfungen des zweiten Faktors erfolgt sind.

(!) Anmeldeversuche über die «OCI Methode» werden ebenfalls nach diesen Regeln bewertet.

Um den Missbrauch durch automatisiertes Ausfüllen und Absenden von Formularen erkennen und unterbinden zu können, sind die folgenden Einstellungen vorgesehen.

• (1) Blockierungsregeln für IP Adressen anonymer Sitzungen
  Wirksam für anonyme Sitzungen
• (2) Blockierungsregeln für IP Adressen authentifizierter Sitzungen
  Wirksam für Sitzungen, bei welchen eine Anmeldung stattgefunden hat

Jedes Absenden eines Formulares wird protokolliert. Nachdem innerhalb des eingestellten Zeitraums die maximale Anzahl von Vorgängen erreicht ist, wird die verantwortliche IP Adresse für diese Funktion gesperrt.

Anmerkung: Eine Funktionssperrung führt immer automatisch auch zur Sperrung von Aktionen im Zusammenhang mit einer Authentifizierung:

• Anmelden
• Passwort Zurücksetzen
• Alle 2FA Aktionen

Falls ein Angreifer ein gültiges, sogenanntes «Session-Cookie» eines angemeldeten Benutzers in Erfahrung bringt, besteht die Möglichkeit, dass die Sitzung übernommen/gestohlen werden kann.

Eine sich während einer aktiven Sitzung ändernde IP Adresse ist ein starkes Indiz dafür, dass dies geschehen ist und die Sitzung «gestohlen» wurde. Das System erkennt dies und meldet den Benutzer der betroffenen Sitzung ab.

• (1) Sitzung beenden bei IP Änderung
• (2) Schwellenwert
  Die Sitzung wird nach n Versuchen beendet/abgemeldet. Werte grösser als 1 sind nur für Testzwecke sinnvoll
• (3) Subnetze von der Erkennung ausschliessen
  Sitzungen einzelner Adressbereiche können vom Beenden, bzw. Abmelden ausgenommen werden, wenn die neu erkannte Ip Adresse zu einem der konfigurierten Adressbereiche gehört. Erfassen sie hier ihre vertrauenswürdigen internen Adressbereiche, damit ihre Nutzer beim Wechsel zwischen diesen Bereichen, beispielsweise zwischen LAN und WLAN, nicht automatisch abgemeldet werden.
• (4) Testfunktion zur Überprüfung der Daten in (3)

(!) Für «OCI Sitzungen» werden diese Einstellungen ebenfalls angewendet.