La correzione dei nomi utente errati crea un rischio per la sicurezza?

Naviga le tue risposte
69

La correzione di un nome utente errato e la richiesta all'utente con un nome utente valido comportano un rischio per la sicurezza?

Recentemente ho provato ad accedere a Facebook e ho scritto male la mia email. Mi hanno suggerito con il seguente messaggio.

Log in as {username}

{email}@gmail.com · Not You?

Please Confirm Password It looks like you entered a slight misspelling of your email or username. We've corrected it for you, but ask that you re-enter your password for added security.

So che i nomi utente non sono un vero segreto, ma quando un sito web corregge un errore ortografico in uno corretto, sembra che stiano prendendo un po 'troppo lontano il "non segreto".

    
posta GER 10.05.2016 - 15:36
fonte

3 risposte

163

Come hai detto, l'hai visto su facebook, quindi ho provato questi passaggi:

  • Accedi con [email protected] e la password reale - > funziona
  • Accedi con [email protected] e password reale - > funziona anche (!)
  • Accedi con [email protected] e password reale - > funziona anche
  • Accedi con [email protected] e password reale - > funziona anche
  • Accedi con [email protected] e password errata - > Password errata, ma l'e-mail è stata corretta automaticamente all'e-mail corretta
  • Accedi con [email protected] in una scheda privata (o in un browser con cache e cookie cancellati) - > "L'email che hai inserito non corrisponde ad alcun account"

Poiché la correzione sembra funzionare solo quando ho già eseguito correttamente l'accesso a FB su questo PC, direi che questa è non una vulnerabilità in facebook.

Modifica: aggiunti nuovi casi di test; grazie Zymus, simbabque e Micheal Johnson per i suggerimenti

    
risposta data 10.05.2016 - 16:13
fonte
14

Permettere il nome utente o l'iterazione dell'email può essere un problema di sicurezza per la maggior parte dei siti, ma non per Facebook. Per siti grandi come Facebook, trovare e-mail con account è facile perché i siti hanno così tanti utenti. Questo vale per altri enormi database di utenti come Google e Microsoft. Queste aziende devono semplicemente essere sicure di fronte al fatto che i loro database di username / email sono (di tipo) pubblicamente conosciuti.

Detto questo, sarei sorpreso se fosse la prima volta che utilizzi Facebook con lo stesso browser, computer o persino l'indirizzo IP. Non ha senso per loro completare i nomi utente in quanto qualsiasi stringa simile all'e-mail è probabilmente vicina a uno o più utenti. Sospetto che Facebook avesse un modo per sapere che eri tu.

    
risposta data 10.05.2016 - 16:10
fonte
1

Sulla base dei dettagli che hai fornito qui, direi "Sì, questo è un rischio per la sicurezza" perché identifica al 100% chi è registrato sul sito. Non so quante volte una richiesta può essere presentata prima che un blocco venga inserito (CAPTCHA, blocco IP, ecc.) Ma un utente malintenzionato potrebbe semplicemente "forzare brute" un insieme di nomi utente ed e-mail per ottenere un elenco piuttosto chiaro di chi usa il sito.

Così com'è, il sistema non ti dice quale input hai inserito in modo errato, ma uno script potrebbe dirlo abbastanza velocemente semplicemente confrontando il precedente con il dopo.

Ancora peggio, con un elenco di nomi utente ed e-mail, quelli in quanto elenchi di destinazione per altri siti perché (mi aspetto) le persone tendono a riutilizzare i nomi utente (come con gli indirizzi e-mail).

Sembra un po 'discutibile.

Sorpreso ... penserebbe che FB avrebbe avuto un buon senso.

    
risposta data 10.05.2016 - 15:51
fonte

Leggi altre domande sui tag

JSON Web Tokens (JWT) come token di identificazione e autenticazione dell'utente Segnala al browser che il mio sito non ha script