O nome de usuário ou a senha estão incorretos: por que não especificar qual? [fechadas]

2

Ao entrar em sites ou aplicativos móveis, se um nome de usuário / senha ou e-mail incorreto for inserido, você será quase sempre notificado apenas de que "o nome de usuário ou a senha estão incorretos". Por que é prática comum fazer isso, em vez de informar ao usuário especificamente se é o nome de usuário / e-mail ou a senha que está incorreta?

Meu palpite é que ele é orientado pela segurança até certo ponto, mas, em caso afirmativo, qual é a diferença significativa fornecida na proteção contra ameaças ao informar ambiguamente ao usuário que alguma parte das credenciais fornecidas estava incorreta?

Já tive muitas instâncias, especialmente em sites mais antigos ou menos visitados, onde não sei se a parte incorreta é meu e-mail, minha senha ou ambos.

    
por Trevor D 04.03.2016 / 17:57

3 respostas

7

Isso foi corrigido no site do IT Security Stack Exchange .

É muito mais difícil para um invasor adivinhar combinações válidas de nome de usuário e senha do que apenas senhas. Uma vez confirmada a existência de uma conta, ela pode ser segmentada (talvez com alguma pesquisa externa em sites como o Facebook).

Também é muito mais conveniente que os sites retornem uma falha de autenticação genérica se consultarem o banco de dados para as duas partes das credenciais do usuário (nome de usuário e senha hash) ao mesmo tempo ou se a camada de autenticação for opaca e apenas retorna se o usuário é legítimo.

Em geral, não é bom revelar mais informações do que o necessário. Alguns invasores podem querer pegar a lista de usuários ("enumerados"), talvez por phishing.

Além disso, e se um usuário digitar incorretamente o nome de usuário para produzir um nome de usuário diferente, mas obtiver sua própria senha (não a senha do outro usuário), certo? Em seguida, a mensagem diria "senha incorreta", embora o erro estivesse, na verdade, no nome de usuário.

    
por 04.03.2016 / 18:06
10

Seu palpite está correto. Especificar que o nome de usuário está incorreto é uma forma de Vazamento de Informações . Usando apenas o formulário de login, um invasor pode determinar se um endereço de e-mail / nome de usuário específico tem uma conta no site.

    
por 04.03.2016 / 18:02
3

É puramente orientada para segurança e privacidade ... O aspecto da privacidade é que a maioria das pessoas usa nomes de usuários em vários sites, confirmando que o nome de usuário existe indica que um indivíduo possui uma conta nesse sistema, que pode ou não ser significativa dependendo do site ou usuário, mas ainda dá algumas informações privadas. O aspecto de segurança é bastante simples, se você tentar autenticar nomes de usuários e senhas aleatórias, dizendo que o nome de usuário está correto reduz as possíveis combinações de hacking, reduzindo bastante o tempo e aumentando as chances do hack. Existem outras implicações, mas estas são as mais significativas.

    
por 04.03.2016 / 18:06