Skip to main content

Challenge

Sicherheitsrichtlinien konfigurieren

This content has been updated. Hier klicken für das Fortsetzen Ihres Fortschritts in der neuesten Version.

Szenario

GoGoRoad hat mit einer großen Anzahl an fehlgeschlagenen Anmeldeversuchen zu kämpfen. Das Management vermutet, dass es sich bei den Versuchen um böswillige Angriffe eines Internet-Bots handelt. Das Management hat Sie gebeten, eine neue Sicherheitsanforderung umzusetzen. Nach dem ersten fehlgeschlagenen Anmeldeversuch kann der Benutzer ohne weitere Überprüfung keine zusätzlichen Versuche unternehmen. Er muss nach jedem Versuch einen zunehmend längeren Zeitraum warten, bevor er einen weiteren Versuch unternehmen kann. Der erste fehlgeschlagene Versuch wird um fünf Sekunden verzögert.

Nach dem ersten fehlgeschlagenen Anmeldeversuch wird ein CAPTCHA auf der Anmeldeseite angezeigt, mit dem überprüft wird, ob es sich bei dem Benutzer um einen Menschen oder einen automatisierten Bot handelt. Nach zwei fehlgeschlagenen Versuchen kommt eine Sperre zum Tragen, wodurch weitere Anmeldeversuche in Fünf-Sekunden-Intervallen verzögert werden.

In der folgenden Tabelle finden Sie die Anmeldedaten, die Sie zur Durchführung der Challenge benötigen.

Rolle Benutzer ID Kennwort
Application Developer author@gogoroad pega123!

Challenge-Schritte

Sie müssen zum Abschließen dieser Challenge Ihre eigene Pega-Instanz starten.

Die Initialisierung kann bis zu 5 Minuten dauern, bitte haben Sie Geduld.

Genaue Übungsschritte

1 Configure CAPTCHA

  1. In the header of Dev Studio, click Configure > Org & Security > Authentication > Security Policies to open the Security Policies landing page.
    Hinweis: The Enable frequently required policies check box is enabled by default.
  2. In the CAPTCHA policies section, in the Enable CAPTCHA Reverse Turing test module field, select Enabled to enable the CAPTCHA feature.
  3. In the Enable presentation of CAPTCHA upon initial login list, select Disabled to ensure that the CAPTCHA appears only after the first failed login attempt.
  4. In the Probability that CAPTCHA will be presented upon authentication failure (%) field, enter 100 to ensure that the CAPTCHA is always presented when a login attempt fails.
    CAPTCHA-policies-challenge-enabled

2 Configure the lockout penalty

  1. In the Lockout policies section, in the Enable authentication lockout penalty field, select Enabled to activate the lockout penalty.
  2. In the Failed login attempts before employing authentication lockout penalty field, enter 2 to set the lockout penalty to take effect after two failed attempts.
  3. In the Initial authentication lockout penalty in seconds field, enter 5 to set the first lockout period to five seconds.
    Hinweis: Subsequent lockout periods increase in five second increments.
    lockout-policies-challenge-enabled
  4. Click Submit to apply the security policy updates.
    Security Policy Challenge - Submit configuration
    Tipp: When you import security policies in a Pega Platform™ instance, you may need to clear the data page that loads those settings. In Dev Studio, navigate to the Declare_AuthPolicies data page and click Load Management > Clear data page to flush the data page.

3 Confirm your work

  1. Log out of the application. The Pega login screen is displayed.
  2. On the login screen, in the User name field, enter author@gogoroad.
  3. In the Password field, enter an invalid password.
  4. Click Log in to invoke an error message and a CAPTCHA field.
    Security Policy Challenge Test - Login Screen with Captcha
  5. Make a second attempt by using invalid credentials.
  6. Enter the CAPTCHA value, and then click Log in.
  7. Make a third invalid login attempt to ensure the Log in button is unavailable for five seconds.
    Security Policy Challenge Test - Login Screen without Login button
  8. Make a fourth invalid login attempt to ensure the Log in button is unavailable for ten seconds.
  9. Log in to the application with the correct credentials to ensure that you can access the application.
Tipp: During application development, to prevent user lockouts, you may need to disable security policies until your application is in production. Return to the Security Policies landing page to disable the settings.


In der folgenden Mission verfügbar:

Wenn bei Ihrer Schulung Probleme auftreten, lesen Sie bitte die Pega Academy Support FAQs.

Fanden Sie diesen Inhalt hilfreich?

Möchten Sie uns dabei helfen, diesen Inhalt zu verbessern?

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice