Domande con tag 'user-enumeration'

10
risposte

Nuovo sistema di accesso a Gmail, contro la saggezza convenzionale?

Ho notato che il nuovo accesso a Gmail richiede prima il nome utente, quindi conferma se tale nome utente esiste, prima di chiedere l'immissione della password. Questo non va contro la saggezza della sicurezza convenzionale per non divulgare...
posta 08.05.2015 - 18:06
9
risposte

Messaggio di errore generico per password o nome utente errati - è davvero utile?

È molto comune (e direi che è una sorta di sicurezza di base) non mostrare sulla pagina di login se il nome utente o la password erano sbagliati quando un utente prova ad accedere. Si dovrebbe invece mostrare un messaggio generico, come "Passwor...
posta 07.07.2014 - 21:41
3
risposte

La correzione dei nomi utente errati crea un rischio per la sicurezza?

La correzione di un nome utente errato e la richiesta all'utente con un nome utente valido comportano un rischio per la sicurezza? Recentemente ho provato ad accedere a Facebook e ho scritto male la mia email. Mi hanno suggerito con il seguen...
posta 10.05.2016 - 15:36
7
risposte

È pericoloso mostrare che il nome utente / account non esiste al login? [duplicare]

In base alle Linee guida per l'autenticazione OWASP , "Un'applicazione dovrebbe rispondere con un messaggio di errore generico indipendentemente da se l'ID utente o la password non erano corretti, non dovrebbe fornire alcuna indicazione sullo...
posta 25.04.2017 - 14:41
7
risposte

Attenua la minaccia di attacco a tempo rispetto alla pagina di recupero password

Recentemente abbiamo eseguito una revisione della sicurezza esterna su un sito web pubblico che gestiamo. Hanno notato che nella "pagina di recupero della password" ci sono diversi tempi di risposta quando si forniscono nomi utente esistenti e n...
posta 09.10.2015 - 15:55
4
risposte

Enumerazione dei nomi utente?

Da quello che capisco, è una cattiva pratica di sicurezza mostrare messaggi di accesso falliti come: The email you entered does not exist Invece di Incorrect email/password combination perché può portare all'enumerazione del nome...
posta 24.09.2013 - 17:16
2
risposte

Enumerazione utente Vulnerabilità durante la creazione dell'account Google

Quando creiamo un account Google, Google ci dice se esiste o meno un account con nome utente specificato. Questo non porta alla numerazione degli utenti? Perché non consentire agli utenti di riempire prima altre informazioni, superare...
posta 06.08.2014 - 17:43
5
risposte

Impedire l'enumerazione degli utenti nella pagina di registrazione

Hai un sito Web in cui gli utenti eseguono l'accesso e vuoi impedire la numerazione degli utenti. Nella pagina di accesso e nella pagina della password dimenticata, ciò può essere ottenuto mediante un'attenta scelta dei messaggi dell'utente,...
posta 10.10.2014 - 12:51
6
risposte

Hai dimenticato la password e hai rivelato se l'account esiste [duplicato]

Quindi quando clicchi il link per la password dimenticata e inserisci il tuo indirizzo email, sembra che i siti (e altri programmatori con cui ho parlato) siano uno di questi due modi di pensare; Notifica all'utente se l'indirizzo e-mail c...
posta 29.08.2015 - 03:25
1
risposta

CAPTCHA abbastanza da ostacolare l'enumerazione degli utenti?

Dire che ho un sito che ha un processo di registrazione dell'utente in cui, quando un utente immette un indirizzo e-mail già in uso, viene visualizzato un messaggio di errore che lo informa. Questo sembra un modo semplice per un utente malintenz...
posta 25.07.2013 - 17:16