Thông báo lỗi nào tốt hơn khi người dùng nhập sai mật khẩu?

Question

Có sự khác biệt nào giữa hai thông báo lỗi sau từ quan điểm bảo mật khi người dùng nhập sai mật khẩu?

username hoặc password sai.

Mật khẩu sai.

Ví dụ: khi bạn nhập sai mật khẩu trên Gmail.com, nó sẽ cho bạn biết "Tên người dùng hoặc mật khẩu bạn đã nhập không chính xác". Có bất kỳ cân nhắc nào vì lý do bảo mật không? Tôi cho rằng thông báo lỗi: "Mật khẩu bạn đã nhập không chính xác" rõ ràng hơn đối với người dùng, Và hơn nữa, rất dễ kiểm tra xem tên người dùng có tồn tại trên Gmail.com hay không: chỉ cần nhấp vào "Không thể truy cập tài khoản của bạn ? " và nhập tên người dùng. Nếu tên người dùng không tồn tại, nó sẽ cho bạn biết.

Answer 1

Ý tưởng là không cung cấp thêm thông tin cho tin tặc. Nếu bạn nói sai mật khẩu, bạn đã nói với một hacker rằng họ có tên người dùng chính xác và ngược lại. Mặc dù những gì bạn đã nói là đúng, trên một số trang web có thể xác định xem bạn đã đoán tên người dùng thông qua các phương tiện khác hay chưa.

Answer 2

Trong một số ngữ cảnh bạn không muốn kẻ tấn công có thể đoán được sự tồn tại của tài khoản. Vì vậy, bạn sẽ luôn trả về thông báo lỗi chung để kẻ tấn công không thể đoán được liệu tài khoản này có tồn tại hay không.

Trong bối cảnh của GMAIL, nó có thể là gmail mà không muốn mọi người khai thác các địa chỉ email hiện có được sử dụng bởi các robot thư rác.

Yourself có thể quyết định thực thi an ninh là một nhu cầu trong ứng dụng của bạn, hoặc nếu bạn có thể cung cấp thêm các thông báo lỗi do người dùng thân thiện.

Answer 3

Các cụm từ đơn giản nhất và phổ biến nhất để sử dụng là:

"Bạn đã nhập tên người dùng hoặc mật khẩu không hợp lệ"

Lý do đằng sau này là để tránh người khác cố gắng để brute force tài khoản của bạn bằng cách 'đoán ' Mật khẩu. Nếu kẻ tấn công nhận được một lỗi chi tiết mật khẩu là không chính xác, sau đó họ có thể thử các mật khẩu khác nhau cho đến khi nhận được nó đúng.

Tuy nhiên, nếu bạn cung cấp một thông điệp chung chung như trên, những kẻ tấn công không biết nếu người dùng, mật khẩu hoặc kết hợp cả hai là đúng hay không.

Fabio @fcerullo

Answer 4

Chỉ cần thêm một số thông tin thêm. hướng dẫn OWASP cung cấp cho bạn các khuyến nghị về vấn đề này

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Authentication_and_Error_Messages

Đơn nên phản ứng với một thông báo lỗi chung chung không phân biệt liệu ID người dùng hoặc mật khẩu không chính xác. Nó cũng phải cung cấp cho không có chỉ báo nào về trạng thái của tài khoản hiện tại.