Który komunikat o błędzie jest lepszy, gdy użytkownicy wprowadzili złe hasło?

Question

Czy są jakieś różnice między następującymi dwoma komunikatami o błędach z punktu widzenia bezpieczeństwa, gdy użytkownicy wprowadzili nieprawidłowe hasło?

Nieprawidłowa nazwa użytkownika lub hasło.

Niewłaściwe hasło.

Na przykład po wprowadzeniu błędnego hasła na stronie Gmail.com zostanie wyświetlone powiadomienie "Podana nazwa użytkownika lub hasło jest nieprawidłowe". Czy są jakieś względy ze względów bezpieczeństwa? Myślę, że komunikat o błędzie: "Podane hasło jest nieprawidłowe" jest bardziej przejrzyste dla użytkowników, a co więcej, bardzo łatwo jest sprawdzić, czy nazwa użytkownika istnieje na stronie Gmail.com: wystarczy kliknąć "Nie można uzyskać dostępu do konta" ? " i wprowadź nazwę użytkownika. Jeśli nazwa użytkownika nie istnieje, powie Ci to.

Answer 1

Chodzi o to, aby nie podawać hakerom dodatkowych informacji. Jeśli wypiszesz złe hasło, powiedziałeś hakerowi, że ma poprawną nazwę użytkownika i na odwrót. Chociaż to, co powiedziałeś, jest prawdą, w niektórych witrynach można ustalić, czy odgadłeś nazwę użytkownika w inny sposób.

Answer 2

W niektórych sytuacjach nie chcesz, aby osoba atakująca mogła odgadnąć istnienie konta. Zawsze będziesz zwracać ogólny komunikat o błędzie, aby osoba atakująca nie mogła odgadnąć, czy to konto istnieje, czy nie.

W kontekście GMAIL prawdopodobnie Gmail nie chce, aby ludzie wykorzystujący istniejące adresy e-mail używali robotów spamujących.

Sam możesz zdecydować, czy wymuszanie bezpieczeństwa jest potrzebne w Twojej aplikacji, czy możesz zapewnić bardziej przyjazne dla użytkownika komunikaty o błędach.

Answer 3

Najprostszym i najczęstszym fraza do wykorzystania jest:

„Podałeś nieprawidłowy login lub hasło”

Rozumowanie to, aby uniemożliwić próby brute force konta przez „zgadywania ' hasło. Jeśli atakujący otrzyma błąd z wyszczególnieniem, że hasło jest nieprawidłowe, mogliby wypróbować różne hasła, aby uzyskać poprawne hasło.

Jeśli jednak podasz ogólną wiadomość podobną do powyższej, osoba atakująca nie wie, czy użytkownik, hasło lub kombinacja obu jest poprawna, czy nie.

Fabio @fcerullo

Answer 4

Wystarczy dodać kilka dodatkowych informacji. OWASP wytyczne daje zalecenia dotyczące tej kwestii

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Authentication_and_Error_Messages

Wniosek powinien odpowiedzieć w sposób ogólny komunikat o błędzie, niezależnie od tego, czy identyfikator użytkownika lub hasło jest nieprawidłowe. Powinno to również spowodować, że nie będzie wskazywać statusu istniejącego konta.