Sito web che consente account diversi con lo stesso nome utente

2

Sto facendo un controllo su un sito web e ho scoperto che è possibile creare diversi account con lo stesso nome utente, ma password diverse.

un utente 'a' con password 'a' avrà un account diverso dall'utente 'a', ma con password 'b'.

Ho la sensazione che questo comportamento sia sbagliato, ma non vedo chiaramente quale sia il rischio nel farlo.

Per ora non esiste un sistema di recupero dell'account sul sito Web.
l'errore di accesso indica "nome utente o password errati", quindi non rivela gli utenti esistenti.

Potresti spiegarmi quali sono i rischi di fornire questo comportamento?

    
posta tux lu 15.05.2017 - 11:37
fonte

3 risposte

3

Questo comportamento suggerisce che le password non siano archiviate in modo corretto.

Presumibilmente il sito web che controlli controlla gli utenti in un database, che corrisponde sia al nome utente che alla password dei campi. Ciò significa che la password non è hash o hash in un modo prevedibile. Se tutte le password avessero un valore diverso, la funzione di ricerca avrebbe dovuto verificare ogni password nel database. Questo può essere fatto solo in un tempo ragionevole quando si utilizza una funzione hash molto veloce, che è una cattiva idea quando si memorizzano le password.

Quindi le password non sono hash, hash senza sale o hash con una funzione hash molto veloce. Questo non è ottimale, dal momento che è consigliato alle password di hash utilizzando Sali e un lenta funzione di hash, come bcrypt.

    
risposta data 15.05.2017 - 13:46
fonte
0

Dopo aver lavorato come sviluppatore su un software che identificava gli utenti in base alla coppia (nome utente, password), i nomi utente non dovevano essere univoci. Tuttavia, occasionalmente potrebbe accadere che due utenti scelgano lo stesso nome utente e password. Penso che il risultato sia stato accidentalmente finire nell'account di un altro utente.

Si noti che è probabile che ciò accada solo se non si hanno restrizioni sulle password. Se si controllano le password di un dizionario per eliminare le password più comuni, è improbabile che due utenti scelgano la stessa password.

    
risposta data 15.05.2017 - 13:23
fonte
0

Oltre al rischio relativo alla memorizzazione / hash delle password menzionate nella risposta di Sjoerd, questa situazione rende difficile registrare correttamente o controllare il comportamento. Se vedi che qualcosa è stato fatto dall'utente 'a', allora è stato fatto da quello con la password 'a' o 'b'? Tecnicamente questo può essere evitato registrando un identificatore univoco separato come un numero di conto, ma potrebbe anche essere evitato usando solo nomi utente univoci in primo luogo.

    
risposta data 15.11.2018 - 17:35
fonte

Leggi altre domande sui tag