Ho notato che la maggior parte dei siti web dice semplicemente che "nome utente o password non sono corretti", tuttavia alcuni ti diranno se il nome utente non esiste.
Ci sono dei rischi per la sicurezza che consentono all'utente di sapere se ha inserito un nome utente non valido anziché dire che la combinazione di utente / password non è corretta?
Se si parte dal presupposto che i nomi utente sono o possono essere tutti pubblici, non ci sono rischi per la sicurezza nel rivelare nomi utente non validi. Tuttavia, questa ipotesi non è in genere il caso, e in quanto tale che rivela la validità dei nomi utente renderà più facili gli attacchi di forza bruta.
Come esempio ridicolo, alcuni film mostreranno a qualcuno che usa un dispositivo la password di una cassastrong digitale o il codice della porta. Forse il lucchetto ha una password di 8 cifre e puoi vedere le cifre che vengono risolte una alla volta sul dispositivo speciale. Se quel meccanismo funzionasse, dovresti fare solo 10 tentativi per cifra, per un totale di 80 tentativi di forzare la password nel caso peggiore. Confronta questo con 10 ^ 8 = 100 milioni di tentativi nel peggiore dei casi per i blocchi digitali modo normale in realtà funzionano. (Qual è il tuo tentativo di password, e il blocco si sblocca o non lo fa.) Lungo le stesse linee, separando l'ipotesi di un nome utente fino a quando non ne colpisci uno, indovinare la password per quel nome utente sarebbe più facile per lo stesso motivo. p>
Ciò detto, non significa necessariamente che questa è una cattiva pratica. Solitamente accade che i nomi utente possano essere facilmente indovinati, in particolare su un sito popolare, quindi la quantità di entropia persa rivelando la validità del nome utente potrebbe non essere sufficiente a giustificare tale preoccupazione.
Leggi altre domande sui tag authentication