2단계 인증은 비밀번호가 유출되거나 추측으로 인한 불법 로그인으로 부터 사용자를 보호하기 위한 것입니다. 그러나 일부 요소는 여전히 무차별 대입으로 뚫릴 수 있습니다. 이러한 이유로 2차 요소 로그인 시도가 너무 많이 실패하면 사용자가 잠기게 됩니다.
TOTP의 경우 8번의 로그인 시도가 실패하면 사용자의 TOTP 요소가 비활성화됩니다. 복구 키를 사용하여 로그인하면 잠금이 해제됩니다. 사용 가능한 유일한 요소인 경우 관리자의 개입이 필요하며 사용자에게 즉시 비밀번호를 변경하도록 요청하는 것이 좋습니다.
FIDO2/Webauthn 및 복구 키는 무차별 대입 공격에 덜 취약하기 때문에 시도 횟수 제한이 더 높지만(100회), 초과 시 모든 두 번째 요소가 1시간 동안 차단됩니다.
Datacenter > Permission > Users > Unlock TFA 기능 CLI를 통해 사용자의 2단계 인증을 잠금 해제할 수 있습니다:
(1) Datacenter > Permission > Users 메뉴를 선택합니다. 잠긴 사용자는 TFA 컬럼에 “TOTP Locked”라고 표시됩니다.
(2) Unlock TFA 단추를 클릭합니다.
(3) UNlock TFA authentication 대화상자가 표시됩니다. 사용자를 확인하고 잠금 해제(Unlock)할거면 Yes 단추를 클릭합니다.
(4) 잠금이 해제되면 사용자 정보의 TFA 컬럼에 “Yes”라고 표시됩니다.
CLI에서는 다음과 같은 명령으로 잠금 해제할 수 있습니다.
pveum user tfa unlock ikhwan@pve
참고로 로그인 시도시에는 TFA가 잠겼다고 따로 표시되지는 않습니다. 암호가 틀린 것과 같은 Login failed 대화상자가 표시됩니다.
