NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

无论登录是通过本地连接还是网络连接，当尝试次数超过最大限制时，都需要限制失败的登录尝试并采取后续措施。由于存在拒绝服务的可能性，由系统发起的自动锁定通常是暂时的，并会在预定的、由组织定义的时间段后自动解除。如果选择了延迟算法，组织可能会根据各个组件的能力对系统的不同组件采用不同的算法。对未成功登录尝试的响应可能在操作系统和应用程序层面实现。当超过允许的连续无效登录尝试次数时，组织可以采取的措施包括：除了用户名和密码外，提示用户回答一个安全问题；启用具有有限用户功能的锁定模式（而不是完全锁定）；允许用户仅从指定的互联网协议（IP）地址登录；要求使用 CAPTCHA 以防止自动化攻击；或者应用用户配置文件，如位置、时间、IP 地址、设备或媒体访问控制（MAC）地址。如果未实施自动系统锁定或延迟算法以支持可用性目标，组织会考虑结合其他措施来帮助防止暴力破解攻击。除了上述措施外，组织还可以在超过允许的不成功登录尝试次数之前，提示用户回答一个秘密问题。通常不允许在指定时间后自动解锁账户。然而，可能会根据运营任务或需要而要求例外情况。