Configurar una política de bloqueo de cuentas

La página Política de bloqueo de cuentas de la Consola de administración le permite configurar una política de bloqueo de cuentas para diferentes roles de usuario en HCL Commerce. Esta página lista todas las políticas de bloqueo de cuentas existentes incluidas las políticas predefinidas proporcionadas con HCL Commerce de forma predeterminada. Una política de bloqueo de cuentas bloquea o inhabilita una cuenta de usuario si se lanzan acciones perjudiciales para esa cuenta, con el fin de disminuir las posibilidades de que las acciones pongan en peligro la cuenta.

Una política de bloqueo de cuentas impone los elementos siguientes:
  • El umbral de bloqueo de cuenta. Indica el número de intentos de conexión no válidos antes de que la cuenta se inhabilite. Al establecer este número demasiado bajo, corre el riesgo de bloquear a usuarios legítimos que han escrito mal su contraseña o tienen dificultades para recordarla y la posibilidad de desbordar al equipo de representante de servicio al cliente (CSR) si un atacante está intentando bloquear varias cuentas. Si establece este número demasiado alto, evita los riesgos mencionados anteriormente, pero es más probable que el sitio sea vulnerable a un ataque por la fuerza consistente en adivinar contraseñas. Elija el umbral que se ajuste mejor a sus requisitos de seguridad.
  • Retardo de conexiones no satisfactorias consecutivas. Es el periodo de tiempo durante el cual no se permite que el usuario se conecte, después de dos intentos de conexión anómalos. El retardo aumenta según el valor de retardo configurado (por ejemplo, 10 segundos) cada vez que se produce un intento de conexión no satisfactorio consecutivo.
Nota:
  • La cuenta de bloqueo no funciona con LDAP habilitado.
  • HCL Commerce Version 9.1.6.0 or laterAl alcanzar el umbral de bloqueo de cuenta, la cuenta de usuario se bloquea. Los usuarios del sitio pueden restablecer su contraseña y desbloquear la cuenta utilizando el flujo de la característica Contraseña olvidada. Antes de la versión 9.1.6.0, la cuenta de usuario estaba inhabilitada y el usuario del sitio no podía volver a habilitarla.

Procedimiento

  1. Abra la Consola de administración y seleccione Sitio en la página Selección de sitio/tienda desde la Consola de administración.
  2. Pulse Seguridad > Política de bloqueo de cuentas.
  3. La página Política de bloqueo de cuentas lista todas las políticas de bloqueo de cuentas existentes. En esta página:
    • Puede crear una política al hacer clic en Nuevo.
      1. Introduzca un nombre para la política de bloqueo de cuentas en el campo Nombre (por ejemplo my_policy).
      2. Entre un umbral de bloqueos de cuenta en el campo Umbral de bloqueos de cuenta. Por ejemplo, entre 6 (para seis intentos)
      3. Entre el retardo de conexiones consecutivas no satisfactorias en segundos en el campo Tiempo de espera. Por ejemplo, entre 10 (para diez segundos).
      4. Pulse Aceptar.
    • Puede cambiar las características de una política existente al seleccionar la política de la lista y hacer clic en Cambiar.
    • Puede eliminar una política ya existente seleccionando la política de la lista y pulsando eliminar.
      Nota:
      1. No se puede eliminar una política de bloqueo de cuentas si se está utilizando (es decir, hay un usuario asignado a la política de bloqueo de cuentas).
      2. Las políticas de bloqueo de cuentas sólo se implementan si los usuarios se autentican en la base de datos de HCL Commerce.