Messaggi di errore distinti per e-mail / password errate

Naviga le tue risposte
1

Voglio continuare la discussione avviata in questa domanda "Nome utente e / o password non validi" - Perché i siti web mostrano questo tipo di messaggio invece di informare l'utente quale era sbagliato? ma a causa della mia reputazione ho bisogno di creare una nuova domanda.

Quindi mi chiedo perché Google e Facebook diano sicuramente ciò che è sbagliato: email o password mentre alcune persone pensano che questo possa essere un problema di sicurezza?

Alcune riflessioni su "questo è pericoloso perché ora l'hacker è sicuro che l'e-mail è valida":

Penso che quasi ogni sito abbia un modulo per il recupero della password con solo un campo di posta elettronica, quindi è abbastanza facile per gli hacker sapere se esiste qualche e-mail o meno. Inserirà semplicemente l'e-mail nel modulo di ripristino e attenderà la risposta "L'e-mail di recupero è stata inviata" o "Questa e-mail non esiste".

Sì, l'utente reale conoscerà questo tentativo di ripristino non autentico e probabilmente proteggerà il suo account rapidamente. Tuttavia, in caso di forzatura bruta della password, possiamo anche informare l'utente di tentativi di accesso sospetti (Facebook ha usato per inviare email di questo tipo dopo un certo numero di tentativi di accesso non riusciti).

    
posta Roman Vernik 21.02.2016 - 17:00
fonte

1 risposta

4

Essenzialmente, questo si traduce in un equilibrio tra usabilità e sicurezza.

Nel caso di Google e Facebook, si presume che quasi tutti abbiano un account, quindi il rischio di rivelare quale indirizzo email è stato utilizzato è minimo - ha più senso da uno scopo di supporto del cliente a ridurre al minimo le chiamate da persone che hanno digitato erroneamente il proprio indirizzo email. Inoltre, entrambi utilizzano metodi abbastanza avanzati per rilevare accessi fraudolenti, con la possibilità di mostrare un elenco di tutte le sessioni conosciute e il rilevamento di accessi multipli da posizioni geograficamente distinte (ad esempio se si effettua l'accesso dal Regno Unito e dagli Stati Uniti entro un'ora, qualcosa sospetto sta succedendo).

Per la maggior parte dei siti più piccoli, tuttavia, non c'è questa supposizione. La maggior parte delle persone non ha un account con un dato sito Web, quindi le informazioni che fanno diventano preziose. In tal caso, puoi ragionevolmente nascondere se qualcuno è un membro o meno dando un metodo di rifiuto generico. Puoi anche dare un messaggio standard leggendo qualcosa come "Abbiamo inviato un link per la reimpostazione della password all'indirizzo fornito - se non lo ricevi entro pochi minuti, controlla la cartella spam o controlla l'indirizzo inserito" - non ti Non è necessario esporre l'elenco degli utenti tramite schermate password dimenticate.

Se i siti più piccoli potessero fare l'ipotesi che "tutti" abbiano un account, o eseguire una suite completa di metodi di rilevamento delle frodi, come Facebook o Google, non sarebbe un problema, ma il costo dell'esecuzione di quel tipo di protezione tende a essere proibitivo fino a raggiungere dimensioni enormi. I messaggi di errore generici, d'altra parte, sono economici ed efficaci.

    
risposta data 21.02.2016 - 17:57
fonte

Leggi altre domande sui tag

In che modo un provider DNS fornisce SSL? È possibile inviare la password in formato testo con SHA-256?