ブルートフォース攻撃を軽減するための認証ロック機構。ユーザーが正常に認証された後、そのブラウザに発行される特別なCookie
従来のアカウントロックアウトと比較して以下の利点がある
- DoS攻撃に対して耐性がある
- IPアドレスではなくブラウザCookieを基準とするため予測可能で実装しやすい
- ボットネットや代理経由の攻撃に対応しやすい
認証リクエスト時に有効なDevice Cookieの有無を確認し、未信頼クライアント(Device Cookieなし)からの認証試行回数を記録してロックアウトを実施する
実装にはJWT、Redis/Memcachedによるロックリスト管理、HMAC署名による改ざん防止などが用いられる