Nein, Sie haben Recht, dass Sie irgendwann während der Bemühungen, Angreifer daran zu hindern, gültige Benutzeridentitäten zu ermitteln, diese entweder anlügen oder außergewöhnlich vage Fehlermeldungen bereitstellen müssen.

Ihre App könnte einem Benutzer mitteilen, dass "der angeforderte Benutzername nicht verfügbar ist" und nicht genau angeben, ob er bereits verwendet wurde oder nur Ihre anderen Anforderungen an den Benutzernamen nicht erfüllt (Länge, Zeichennutzung, reserviert) Wörter usw.). Wenn diese Details öffentlich sind, kann ein Angreifer natürlich feststellen, dass seine Vermutung aufgrund des verwendeten Kontos und nicht aufgrund eines ungültigen Formats fehlgeschlagen ist.

Dann haben Sie auch Ihr System zum Zurücksetzen des Passworts. Akzeptieren Sie einen Benutzernamen / eine E-Mail-Adresse und sagen, dass eine Nachricht gesendet wurde, auch wenn dieses Konto nicht in Ihrer Datenbank enthalten war? Was ist mit der Kontosperrung (wenn Sie sie verwenden)? Sagen Sie dem Benutzer nur, dass seine Anmeldeinformationen ungültig waren, auch wenn dies nicht der Fall war, sondern dass sein Konto gesperrt wurde, in der Hoffnung, dass er sich an den Kundendienst wendet, der das Problem identifizieren kann?

Es ist vorteilhaft, die Anzahl zu erhöhen Es ist für Angreifer schwierig, gültige Benutzernamen zu sammeln, dies führt jedoch in der Regel zu Frustrationen bei den Benutzern. Die meisten Websites mit niedrigerer Sicherheit, die ich gesehen habe, verwenden separate Nachrichten, die angeben, ob der Benutzername oder das Kennwort falsch sind, nur weil sie es vorziehen, Fehler zu machen, um die Benutzer zufrieden zu stellen. Sie müssen feststellen, ob Ihre Sicherheitsanforderungen eine Priorisierung gegenüber der Benutzererfahrung vorschreiben.

Sie gehen davon aus, dass das System tatsächlich weiß, welches Feld falsch eingegeben wurde. Es gibt mehrere Gründe, warum dies nicht unbedingt der Fall ist.

Eine Möglichkeit besteht darin, dass dies ein Nebeneffekt der Implementierung ist. Eine vereinfachte Methode zum Nachschlagen von Anmeldungen in einer Datenbank sieht möglicherweise so aus (unter Verwendung von : n für vom Benutzer angegebene Parameter):

  SELECT 1 FROM users WHERE username = : 1 AND password = HASHING_FUNCTION (CONCAT (: 2, salt))  

Wenn Sie ein leeres Ergebnis erhalten, wissen Sie, dass die Anmeldung fehlschlagen sollte, aber Sie wissen nicht warum, es sei denn, Sie tun dies etwas komplizierter oder eine andere Abfrage machen. Manchmal ist es also nur Faulheit oder der Wunsch, die Datenbank zu schonen, und nicht eine bewusste Sicherheitsentscheidung.

Aber selbst wenn die Implementierung zwischen einem nicht vorhandenen Benutzer und falschen Anmeldeinformationen unterscheiden kann, haben Sie immer noch die Situation, in der ein Benutzer sein Passwort korrekt eingibt, aber den falschen Benutzernamen, und das ist zufällig ein Benutzer, der existiert (mit einem anderen Passwort). Wenn der Benutzer dann eine Nachricht erhält, dass sein Passwort falsch ist, ist dies falsch. Wenn der angegebene Benutzername nicht vorhanden ist, kann das System nicht tatsächlich wissen, ob der Benutzername oder das Kennwort falsch war.

Im Allgemeinen ist es schwieriger, eine Registrierungsseite brutal zu erzwingen, als eine Anmeldeseite brutal zu erzwingen. Daher profitieren wir von diesen zusätzlichen Kosten. Aber im Konzept sind Sie richtig. Es gibt andere Möglichkeiten, Benutzernamen aufzulisten als Anmeldeseitenmeldungen.

Es ist einfach 'Good Practice' (TM), Fehlermeldungen generisch zu protokollieren, um es Angreifern zu erschweren, gute von schlechten Konten zu unterscheiden. Mit einem Brute-Force-Tool ist es trivial, zufällige Namen auszuprobieren und dann, wenn sich die Fehlermeldung ändert, mit dem Brute-Forcen dieses Benutzernamens zu beginnen.

Aber wie immer müssen Sie die Benutzerfreundlichkeit mit der Reduzierung von Bedrohungen in Einklang bringen.

Nicht alle Systeme verfügen über eine Kontoregistrierung. Zum Beispiel nicht bei der Anmeldung Ihres Betriebssystems. Websites akzeptieren von Zeit zu Zeit keine neuen Mitglieder mehr.

Es geht um die Trennung von Bedenken: Sollte der Anmeldedialog die Systemkonfiguration abfragen und sein Verhalten basierend darauf anpassen, ob das System so konfiguriert ist, dass Anwendungen für neue angenommen werden Konten oder nicht? Anschließend wird der Anmeldedialog mit Informationen gekoppelt, die für den Job nicht wirklich relevant sind.

Es scheint in allen Fällen einfacher zu sein, nur die vage Fehlermeldung zu implementieren (vorausgesetzt, die UI-Software weiß sogar, ob es sich um das Kennwort handelt Das ist schlecht oder das Konto nicht vorhanden. Was ist, wenn ein generischer Authentifizierungsfehler von einer API niedrigerer Ebene auftritt?)

Und außerdem: Die neue Benutzeroberfläche der Benutzeranwendung kann eine lange gefälschte Verzögerung wie " Suche nach Benutzerbasis ... [10 Sekunden] ... oops, Benutzername ist bereits vergeben! " Wenn dies implementiert ist, bedeutet dies, dass das Prüfen des Speicherplatzes von Benutzer-IDs durch diesen Mechanismus stark ratenbeschränkt ist. Da die Beantragung eines neuen Kontos eine seltene, einmalige Operation ist, werden Benutzer unter der Verzögerung leiden, während sie durch eine Verzögerung von zehn Sekunden im regulären Anmeldedialog verschärft würden.

Es hängt vom Benutzernamen ab. Es gibt drei Hauptansätze für Benutzernamen:

• Vom Benutzer ausgewählter Name
• E-Mail-Adresse
• Zugewiesener Benutzername - normalerweise eine Ziffernfolge

Sie haben Recht, dass ein Angreifer bei vom Benutzer ausgewählten Namen mithilfe des Registrierungsprozesses ableiten kann, welche Namen verwendet werden. Daher hat die Anmeldung, die eine generische Nachricht zurückgibt, nur begrenzte Vorteile.

In den beiden anderen Fällen ist es jedoch viel wichtiger, dass der Anmeldebildschirm eine allgemeine Fehlermeldung zurückgibt. Betrachten Sie eine Rekrutierungsseite, es könnte für joe.bloggs@abc.com peinlich sein, wenn sein Chef feststellt, dass auf einer Rekrutierungsseite ein Konto vorhanden ist. Zugewiesene Benutzernamen werden am häufigsten auf Hochsicherheitsseiten wie Online-Banking verwendet.

Ja, Sie haben Recht. Überall auf Ihrer Site, wo bestätigt werden kann, dass ein Benutzername vorhanden ist oder nicht, kann dies zu einer Aufzählung von Benutzernamen führen.

Dieses Problem kann jedoch gelöst werden, wenn es ist wichtig für Ihr System. In einigen Systemen kann die Aufzählung von Benutzernamen nicht vermieden werden, da sie der Art der Anwendung eigen ist. Ein Beispiel ist ein Webmail-Dienst - hier gelten E-Mail-Adressen als potenziell öffentlich. Es ist schwierig zu verhindern, dass Benutzer andere Benutzernamen kennen, ohne dass sich die Benutzer mit einer anderen Kennung als ihrer gehosteten E-Mail-Adresse anmelden müssen. Dies kann zu Verwirrung und Schwierigkeiten bei der Wiederherstellung verlorener Anmeldeinformationen führen.

Bei den meisten anderen Systemen ist dies jedoch der Fall kann behoben werden, indem die E-Mail-Adresse des Benutzers als Login-Benutzername angegeben wird. Sie würden das Problem lösen, indem Sie das vergessene Passwort und das Anmeldeformular so effektiv wie auf derselben Seite haben. Bei der Anmeldung handelt es sich um ein mehrstufiges Formular. Im ersten Schritt werden Sie lediglich nach dem Benutzernamen (E-Mail) gefragt, den der Benutzer mit Ihrem System verwenden möchte. Für die Kontowiederherstellung wäre dies dasselbe Formular, aber der Titel würde etwas in der Art von sagen. Bitte geben Sie Ihre E-Mail-Adresse ein, um eine E-Mail zur Kennwortwiederherstellung zu generieren.

In beiden Fällen Das Formular sendet dem Benutzer eine E-Mail. Wenn sie bereits angemeldet sind, enthält der Inhalt dieser E-Mail einen Link zum Zurücksetzen des Passworts. Wenn sie nicht angemeldet sind, enthält der Inhalt dieser E-Mail einen Link zur nächsten Stufe des Anmeldevorgangs. Dadurch wird verhindert, dass Benutzernamen auf Ihrem System aufgelistet werden, sodass ein Angreifer nicht weiß, auf welche Konten er abzielen soll.

Dies bedeutet natürlich, dass Sie bereit sind, das Zurücksetzen von Kennwörtern per E-Mail zuzulassen, was für einige Anwendungen möglicherweise nicht akzeptabel ist wie Bankanwendungen. Da diese Art von Konten normalerweise zusätzliche Sicherheitsüberprüfungen haben, werden ihnen normalerweise Benutzernamen zugewiesen, anstatt dass die Benutzer ihre eigenen auswählen können.

Das häufigste Argument für vage Nachrichten scheint darin zu bestehen, Angreifer daran zu hindern, gültige Benutzernamen zu erraten. Es gibt tatsächlich eine einfache Lösung, die legitime Benutzer nicht ernsthaft beeinträchtigt und trotzdem vorhanden sein sollte: Beschränken Sie die maximale Anzahl fehlgeschlagener Versuche in einem bestimmten Zeitraum.

Indem Sie Versuche einschränken, verhindern Sie alle brutalen Versuche. Angriffe erzwingen. Angenommen, Sie erlauben nur 5 Versuche pro 15 Minuten (in Foren üblich) - das macht einen Angriff auf das Erraten von Benutzernamen so gut wie nutzlos. Es verhindert auch das Brute-Forcing von Passwörtern (so nutzlos langsam wie auf einem Remote-Standort).

Natürlich verfügt ein Angreifer möglicherweise bereits über eine Datenbank mit Benutzernamen und möchte lediglich überprüfen, ob diese vorhanden sind auf Ihrer Website. Und Sie müssen die Auswirkungen auf die Sicherheit berücksichtigen, aber im Allgemeinen haben sie entweder bereits das Passwort (was diese Diskussion in Frage stellt) oder sie werden es nicht (so dass eingeschränkte Versuche ohnehin das Erraten verhindern).

Eine intelligente Website hätte ein Captcha auf ihrer Registrierungsseite, um dies zu verhindern.

Aber Sie wissen, wie 99% der Websites sind. Sie werden ihre UX mit einer allgemeinen Fehlermeldung ruinieren, obwohl sie dadurch keine zusätzliche Sicherheit erhalten. Persönlich kümmere ich mich nicht um generische Fehlermeldungen, da für meine Anmeldungen viele andere Einschränkungen bestehen (Captchas, begrenzte Anmeldeversuche). Außerdem sind Anmeldungen der Hauptgrund, warum Benutzer eine Website verlassen.

Wenn Sie sich dafür entscheiden, eine generische Fehlermeldung anzuzeigen, dann gehen Sie den ganzen Weg damit. Stellen Sie sicher, dass nirgendwo lose Enden vorhanden sind. Sie können eine Wand mit 10 Zoll dickem Stahl verstärken, aber das hilft nicht, wenn eine unverschlossene Tür darin ist.

Ich versuche, meinen Angreiferhut aufzusetzen, und es werden zwei Fälle angezeigt:

1. Ihre Website verfügt über eine Registrierungsseite (z. B. Google Mail oder Stackoverflow). Ich könnte die Registrierungsseite verwenden, um den Benutzernamen eines vorhandenen Benutzers mit brutaler Gewalt herauszufinden. Oder ich könnte einfach einen neuen Benutzer erstellen. Mein neuer Google Mail- oder Stackoverflow-Benutzer hat wahrscheinlich ungefähr die gleichen Rechte wie der, den ich brutal erzwungen hätte.

2. Ihre Website verfügt nicht über eine Registrierungsseite. Ihr Punkt ist nichtig.

ol>

Um die Aufzählung von Benutzernamen auf der Benutzerregistrierungsseite zu vermeiden, kann eine Anwendung den Benutzernamen automatisch anhand der E-Mail-Adresse des Benutzers zuweisen, anstatt den Benutzer aufzufordern, eine dieser Optionen auszuwählen.

Auf diese Weise kann der Benutzername verhindert werden Aufzählungs- oder Registrierungsseite.

Außerdem sollten wir die Funktionalität für vergessene Kennwörter berücksichtigen. Manchmal sollte dies auch gültige Benutzerdetails anzeigen.