conferma dell'esistenza dell'account utente [duplicato]

0

Solitamente i sistemi di autenticazione non confermavano se esistesse un account utente e, invece, segnalavano semplicemente che il nome di accesso dell'utente o la password non erano corretti.

Al giorno d'oggi, molti sistemi di autenticazione (in particolare quelli per account Google, account Microsoft, ecc.) (1) confermano che l'account utente esiste utilizzando il nome di accesso utente inviato, quindi (2) richiede la password.

Perché è cambiato?

    
posta mythofechelon 31.01.2017 - 15:40
fonte

1 risposta

1

C'è un compromesso tra usabilità e sicurezza. Mantenere il nome utente segreto è più sicuro, ma rende più difficile per l'utente utilizzare l'applicazione. Confermare se esiste un nome utente è un rischio marginale: l'attaccante può indovinare un numero limitato di valori. Se il nome utente è un indirizzo e-mail, la protezione si riduce ulteriormente poiché gli indirizzi e-mail sono generalmente pubblici. Questi provider ritengono che la piccola riduzione della sicurezza valga l'usabilità extra offerta per l'utente.

    
risposta data 31.01.2017 - 16:01
fonte

Leggi altre domande sui tag