mantenere i nomi utente come informazioni di accesso è vulnerabilità in un sito web

0

Molti consigli per non pubblicare indirizzi email sul forum pubblico poiché alcuni potrebbero provare diversi tentativi di accesso usando alcuni attacchi di forza bruta, ecc., ma noto in diversi siti Web (anche in siti sensibili che trattano denaro). utilizza email-id / nome utente per i meccanismi di accesso e in realtà visualizza i nomi degli utenti pubblicamente, sito Web di esempio GitHub ( link ).

La mia domanda è che questi siti web sono vulnerabili a una vasta gamma di attacchi bruteforce? Come utilizzare i web crawler per raccogliere un numero elevato di nomi utente e forzanti bruti con un'unica password popolare.

Ad esempio "nopassword" è una delle password più utilizzate da molte persone  Invece di usare password come liste di parole (metodo comune) l'utente malintenzionato potrebbe usare nomi utente ottenuti dai bot come elenchi di parole con una sola password come "nopassword"

È un attacco a spettro ristretto, ma l'attaccante potrebbe ottenere l'accesso a un numero enorme di account che utilizzano password popolari con questo metodo. Quindi questa è una vulnerabilità dei siti web?

    
posta VISWESWARAN NAGASIVAM 19.11.2016 - 06:13
fonte

1 risposta

2

C'è una differenza tra una "debolezza" e una vulnerabilità. I nomi utente non sono intesi per essere segreti, quindi una volta che un nome utente è noto, allora è soggetto a bruteforcing. Questo è un punto debole con l'intero modello di username / password e ogni sito web che lo usa adotta questa debolezza.

Ci sono modi per mitigare questa debolezza, come l'autenticazione a due fattori (2FA), ma la debolezza del modello è ancora intrinseca.

Il problema è che non esiste un'alternativa praticabile che funzioni per il mondo intero. Certo, potresti rilasciare certificati client, ma non è facile da amministrare.

    
risposta data 19.11.2016 - 09:28
fonte

Leggi altre domande sui tag