Quanto è difficile esporre nomi utente validi?

Naviga le tue risposte
7

Oggi come molte altre volte in passato, ho firmato un nuovo servizio e ho ricevuto un messaggio di errore comune:

Your user name or password is invalid

Questa volta mi chiedo quanto sia utile notificare "password o utente non valido" rispetto a uno schema di due messaggi meno comune ma più utile con il problema reale: "utente sconosciuto", "password non valida"

Il mio pensiero era che un sistema che non specifica se il nome utente è valido potrebbe essere più sicuro perché non espone nomi utente validi. Tuttavia, quanto è pratico questo nella vita reale? Sebbene abiliti la possibilità di estrarre un elenco di nomi utente. Quanto può essere una minaccia? Vale veramente la pena di degradare un po 'l'esperienza utente di login (errore ambiguo) in cambio di nascondere l'elenco degli utenti?

In questo momento l'idea di esporre l'elenco di nomi utente validi sembra una cosa molto brutta. Tuttavia non sono sicuro che sia solo una paranoia di sicurezza ingiustificata che non è davvero pratica. Anche se un utente malintenzionato potrebbe ottenere un elenco di buoni nomi utente che potrebbe provare ad attaccare con forza bruta, ma se i nomi utente sono resi pubblici (come in un forum), è solo paranoia evitare di esporre nomi utente validi?

Aggiorna :

In un forum, ad esempio, un crawler web sarebbe molto più efficiente nel raccogliere i nomi degli utenti di un generatore di brute force del generatore di nome utente. Mi chiedevo se ci sono casi validi in cui gli errori di registrazione ambigui sono pratici.

    
posta SystematicFrank 20.12.2013 - 17:58
fonte

3 risposte

4

In un lento attacco di forza bruta, utilizzando una grande rete di zombi, l'esposizione di questo tipo di informazioni può aiutare un aggressore in modo significativo.

Imaging di 10.000 computer zombi che tentano di accedere ogni tanto prima di estrarre i nomi utente, quando un elenco di utenti viene rilevato per le password.

Diciamo che lo zombi prova una volta all'ora, cioè 240.000 tentativi al giorno. Internet è pieno di dump di database con indirizzi e-mail e nomi utente da provare.

Ecco alcuni post su questo argomento:

risposta data 20.12.2013 - 18:13
fonte
2

Quanto è grave l'esposizione di nomi utente validi? Se si consente al pubblico di registrarsi, è inevitabile: un utente malintenzionato che desidera verificare se un nome utente viene utilizzato può semplicemente tentare di registrarsi con esso. In questo caso, non dire agli utenti se il loro nome utente o la loro password non sono corretti fa una differenza trascurabile (a parte l'inconveniente per gli utenti smemorati), e dovresti andare avanti e dire quale era.

    
risposta data 16.01.2016 - 05:57
fonte
1

La sicurezza riguarda i livelli. È ragionevole adottare questo approccio poiché non perde nomi utente validi. Detto questo, la sicurezza attraverso l'oscurità non dovrebbe essere il tuo unico mezzo di sicurezza. È giusto prendere questo approccio per creare un ulteriore blocco stradale (non importa quanto sia piccolo). Solo il mio modesto parere.

    
risposta data 20.12.2013 - 18:04
fonte

Leggi altre domande sui tag

È sicuro assegnare un token Oauth al lato client javascript in modo che possa direttamente effettuare richieste a un server? Sfruttare SNMP scrivibile