Bei kleineren Websites möchten Sie Hackern nicht erlauben, Ihre Benutzerlisten aufzulisten. Bei Google ist die Website jedoch so groß, dass davon ausgegangen werden kann, dass fast jeder ein Konto oder mehrere Konten hat. So wird das Risiko nach einer Schwelle der Allgegenwart minimiert.

Für die meisten Websites ist es immer noch eine gute Idee, nicht anzugeben, ob ein Benutzername vorhanden ist. Das Risiko muss jedoch gegen den neuen Benutzerregistrierungsprozess abgewogen werden. Was Sie verhindern möchten, ist ein automatisierter Prozess, der Ihre Listen auflistet. Der neue Benutzerregistrierungsprozess sollte eine Art Verzögerung oder Gate beinhalten, damit ein Skript ein Benutzerwörterbuch nicht schnell ausprobieren kann. Dies wird häufig durch Senden einer E-Mail mit den Ergebnissen des nicht / erfolgreichen Registrierungsprozesses erreicht. Ja, man könnte noch aufzählen, aber es gibt eine Verzögerung und einen zusätzlichen Schritt.

Eine andere zu berücksichtigende Sache ist der Unterschied zwischen einer öffentlichen Site und einer privaten Site. Google ist ein öffentlicher Dienst, und Benutzernamen sind auch öffentlich (wird mit jeder von einem Konto gesendeten E-Mail bekannt gegeben). Auf der anderen Seite ist eine interne Unternehmenswebsite, auf die nur aktuelle Mitarbeiter zugreifen können, privat und erfordert strengere Kontrollen, um eine Aufzählung zu verhindern.

Jeff Atwood, als er sich für Discourse anmeldete, hatte folgendes zu sagen:

Dies war die Quelle einer langen Diskussion bei Diskurs darüber, ob es sinnvoll war, dem Benutzer bei der Eingabe einer E-Mail-Adresse im Formular "Passwort vergessen" mitzuteilen, ob diese E-Mail-Adresse gespeichert ist. Auf vielen Websites wird die folgende Nachricht angezeigt, nachdem Sie eine E-Mail-Adresse in das Formular für das vergessene Passwort eingegeben haben:

Wenn ein Konto mit name@example.com übereinstimmt, sollten Sie eine E-Mail mit erhalten Anweisungen zum Zurücksetzen Ihres Passworts in Kürze.

Beachten Sie das schüchterne "if", das eine Absicherung gegen alle Sicherheitsaspekte darstellt, die sich aus der Offenlegung ergeben, ob eine bestimmte E-Mail-Adresse auf der Website vorhanden ist Website, indem Sie es einfach in das Formular für vergessene Passwörter eingeben.

Wir nehmen es todernst mit, sichere Standardeinstellungen für den Diskurs auszuwählen, damit Sie nicht sofort ausgenutzt, missbraucht oder überrannt werden Spammer. Aber nachdem wir die reale Welt erlebt haben "Welche E-Mail haben wir hier wieder verwendet?" Beim Anmeldestatus von Dutzenden von Discourse-Instanzen haben wir festgestellt, dass in diesem speziellen Fall die Benutzerfreundlichkeit weitaus wichtiger ist als die Sicherheit.

Bei Google Mail können Sie feststellen, ob ein Konto vorhanden ist, indem Sie einfach eine E-Mail an eine @ gmail.com -Adresse senden. Wenn es abprallt, existiert dieses Konto nicht.

Dies gilt für viele E-Mail-Anbieter. Hier werden Benutzernamen nicht als geheim angesehen. Wenn ein Benutzer die E-Mail-Adresse foo@example.com hat, weiß jeder, dass foo ein Konto bei example.com mit dem Benutzernamen foo hat @ example.com .

Bei den meisten anderen Systemen ist es jedoch eine Verletzung der Privatsphäre, Benutzernamen preiszugeben. Wenn jemand feststellen kann, dass bob@example.com ein Konto bei nostringsattacheddating.example.org hat und Bobs Frau Alice versuchen kann, sich mit dem Benutzernamen bob @ example zu registrieren. com auf der Website und es wird ihnen mitgeteilt, dass der Benutzername bereits verwendet wird. Dies stellt eine massive Verletzung der Privatsphäre dar.

Denken Sie daran, dass die E-Mail-Adresse ihre Wurzeln beim E-Mail-Anbieter hat. Es geht keine Privatsphäre verloren, wenn bekannt ist, dass eve@example.com ein Konto bei example.com hat, da es keinen Bezugspunkt für eve @ gibt. example.com ist. Dasselbe gilt nicht für ein anderes System, das E-Mail als Benutzernamen verwendet. Ein Benutzer mit dem Benutzernamen mallory@example.com auf einer Nicht-E-Mail-Website ist derselbe mallory@example.com wie auf anderen Websites registriert. Es gibt Datenschutz zum Schutz der Konten, über die Mallory verfügt.

Außerdem kann es für einen Angreifer nützlich sein, Benutzernamen preiszugeben. Dies wird als Sicherheitsanfälligkeit bezüglich der Aufzählung von Benutzernamen bezeichnet. Wenn ein Angreifer weiß, welche Benutzernamen vorhanden sind, kann er einen Angriff zum Erraten von Passwörtern ausführen.

Als Angreifer kann ich Ihre Login- oder vergessene Passwortseite verwenden, um meine einzugrenzen Ich werde eine Liste von 10000 Zielen bis 1000 Zielen auflisten.

Außerdem können Angreifer Benutzer des Systems über Phishing anvisieren.

Es ist leicht möglich, ein System zu entwerfen, in dem die Benutzeraufzählung nicht ausgeführt werden kann. Beispielsweise sind die Anmeldevorgänge und die Prozesse für vergessene Kennwörter identisch.

Die Schritte sind:

1. Das System fragt bei einer einzelnen Person nach ihrem Benutzernamen (E-Mail) Seite ohne andere Eingabefelder.
2. Wenn das Formular gesendet wird, fordert das System den Benutzer auf, sein E-Mail-Konto zu überprüfen.
3. Wenn das Konto vorhanden ist, enthält die E-Mail einen Link zum Zurücksetzen des Kennworts .
4. Wenn das Konto nicht vorhanden ist, enthält die E-Mail einen Anmeldelink.
ol>

Als Bonus haben Sie die E-Mail-Adresse bei der Anmeldung überprüft für den Fall, dass sie ihr Passwort zu einem späteren Zeitpunkt zurücksetzen müssen. Tippfehler bedeuten, dass sich der Benutzer überhaupt nicht anmelden kann. Dies ist gut, da ein Benutzer nicht versehentlich ein Konto verwendet, das unter einer anderen E-Mail-Adresse registriert ist.

Sowohl das Passwort als auch die Anmeldelinks enthalten eine kryptografisch sichere zufällige ID, sodass sie nicht ohne Erhalt der E-Mail verfolgt werden können. Nur jemand mit Zugriff auf das Konto kann herausfinden, ob ein Benutzername registriert ist oder nicht (Bob sollte seine E-Mail- und Laptop-Passwörter besser vor Alice geheim halten - es wäre ratsam, Benachrichtigungstöne auszuschalten, falls Alice diesen Vorgang versucht, wenn sie dies tun Ich bin auch im selben Raum.

Sehen Sie sich einige meiner anderen Antworten zu verwandten Themen an:

• Wie kann ich die E-Mail-Erkennung in Formularen verhindern?
• Ist es sicher, dass Ihr Registrierungsformular eine Funktion "E-Mail nicht mehr verfügbar" enthält?
• Sollte auf die E-Mail-Überprüfung ein Kennwort folgen -basiertes Login? Warum?
• Best Practice für vergessenes Passwort, OK, um zu verraten, dass eine bestimmte E-Mail ungültig ist
• Ist es das? sicher, ein Passwort für einen Benutzer während der Anmeldung in einer Webanwendung zu generieren?

Ich bin sicher, dass sich diese Regel in den Tagen des „großen Eisens“ entwickelt hat, als sich alle Konten auf großen Unternehmens- oder Regierungssystemen befanden. Da das System die Kontonamen verteilt hat, war die Verwendung einer Anmeldeseite zum Suchen nach Kontonamen kein Problem. Daher war es machbar, die Liste der Kontonamen zu führen. & war nützlich.

Da es sich nun um Websites zur Selbstanmeldung handelt, ist es unmöglich, die Liste der Kontonamen geheim zu halten. Außerdem machen heutzutage so viele Leute ihren Kontonamen sowieso öffentlich. Unter diesen Umständen ist es sinnlos zu versuchen, die Tatsache zu verbergen, dass der Name anstelle des Kennworts fehlgeschlagen ist.

Es ist nicht wichtig zu wissen, welcher Benutzername vorhanden ist oder nicht, da ein Angreifer ihn auch auf der Anmeldeseite überprüfen kann. Google erlaubt nicht, dass ein Angreifer einen Angriff wie einen Brute-Force-Angriff ausführt, um eine Benutzernamenliste zu erhalten.

Es gibt einen wichtigeren Grund, zuerst nach dem Benutzernamen und dann nach dem Kennwort zu fragen: Google kann eine andere Benutzeroberfläche für Konten anbieten, die die kennwortlose Authentifizierung oder andere experimentelle Anmeldemechanismen verwenden, ohne zuvor anzugeben, welche Konten verwenden es.

Ähnlich wie die 2Factor-Authentifizierungsoberfläche von Google wird erst nach Eingabe des Kennworts angezeigt: Ein Angreifer weiß erst nach dem Knacken des ersten Faktors, dass ein zweiter Faktor beteiligt ist .

In Kombination mit den anderen Antworten, die hier über das relative Nichtrisiko des Verlusts von Benutzernamen lauten, scheint mir dies tatsächlich eine Sicherheitsverbesserung zu sein.

E-Mail-Adressen sind nicht mit Benutzernamen identisch. Ein Benutzername ist (möglicherweise) eine halbprivate Information, eine E-Mail-Adresse ist jedoch öffentlich zugänglich und öffentlich weiterleitbar. Denken Sie an die Post, die Postanschrift, wenn sie oft bekannt ist, aber die aktuelle Liste der gültigen Empfänger ist nicht unbedingt öffentlich, obwohl es oft Möglichkeiten gibt, dies auch online nachzuschlagen. Bei etwas wie Google gibt es Google+, YouTube, Google Groups usw., die viele der Adressen bereits bekannt machen.

Es ist auch trivial, einen E-Mail-Server abzufragen und festzustellen, ob eine bestimmte E-Mail vorliegt Adresse existiert, mit Telnet oder viele Websites erledigen dies für Sie. Es gibt wenig zu gewinnen, wenn Informationen geschützt werden, die auf andere Weise leicht zugänglich sind. Aus diesem Grund trennen einige Websites die E-Mail-Adresse für den Benutzernamen. Im Fall eines E-Mail-Anbieters ist es nicht wirklich sinnvoll, einen anderen Anmeldenamen und dann eine andere E-Mail-Adresse für den durchschnittlichen Benutzer zu haben (möglicherweise möchten diejenigen von uns, die sicherheitsparanoider sind, diese Funktion).

Wenn Sie zu einer zweistufigen Anmeldung wechseln, verringert sich die Wahrscheinlichkeit, dass das Kennwort eines Benutzers in ein Suchfeld oder das Feld für den Benutzernamen eingegeben wird. Diese Felder werden häufig protokolliert und die Protokolle werden überall korreliert und sind weniger wahrscheinlich gesichert. Wenn die Protokolle von einem Hacker oder Nationalstaat angegriffen werden, kann der Angreifer möglicherweise die IP-Adresse des Benutzers mit seinem Benutzernamen korrelieren und dann etwas wie "m7p @ 55w0rd !!!!" bemerken. In Bezug auf das Risikomanagement ist das Risiko einer Kennwortexposition viel größer als das Risiko einer Aufzählung von Benutzernamen. Google verfügt wahrscheinlich über eine robustere Nachverfolgung von Betrugsbekämpfung und Anomalien, um die mit bekannten Nutzernamen verbundenen Risiken zu bewältigen.

Ich denke, ein guter Weg, dies zu verstehen, ist das Beispiel für Reifenschaukeln in der FAIR-Einführung (pdf). Die Risikoberechnung eines bekannten Benutzernamens wird von den anderen Kontrollen und Faktoren beeinflusst. Stoppen Sie Brute-Force-Angriffe, benötigen Sie eine Multi-Faktor-Authentifizierung. Wie können diese Informationen sonst noch abgerufen werden? In diesem Szenario tauschen Sie effektiv zwischen einem Risiko, über das Sie die Kontrolle haben (Überwachung aller Anmeldungen), und etwas auf dem alten Formular aus, das schwerer zu kontrollieren ist (Passwort wird vom Benutzer in den falschen Bereich eingegeben).

Ich werde mich auf die Probe stellen und sagen, dass wahrscheinlich einige Mechanismen vorhanden sind, um sicherzustellen, dass es sich nicht um ein offenes Repository von Benutzern handelt.

Wir haben auf ein ähnliches System implementiert Unsere kleine Website mit einer von Redis unterstützten Lösung.

Benutzern wird zunächst eine einfache E-Mail / ein Pass mit einer Schaltfläche zum Anmelden und Registrieren angezeigt. Wenn Sie ihre E-Mail-Adresse eingeben und fortfahren, wird sie auf Übereinstimmung überprüft. Wenn sie übereinstimmt, wird die Registrierungsschaltfläche entfernt. Wenn nicht, wird ihnen das vollständige Anmeldeformular vorgelegt.

Wir verfolgen die Anzahl der Versuche von IP-Subnetz und Blacklist nach einem bestimmten Schwellenwert. Blacklisting hat keinen Einfluss auf ihre Fähigkeit, die Site zu verwenden, sondern kehrt einfach zum Standardverhalten der Anmelde- / Registrierungsoptionen zurück.

Ja, sie verfügen über Systeme, um Missbrauch zu verhindern. Google verfügt über umfangreiche "Anomalieerkennungs" -Mechanismen, die Fehler oder Captchas liefern, wenn Ihre Aktivität verdächtig ist: Die bekanntesten Beispiele sind Blöcke aus der Google-Suche und der NoCaptcha ReCaptcha.

Die Tatsache, dass Sie Wenn sie wissen durften, ob dieses Konto existiert, bedeutet dies nicht, dass jeder den Benutzernamen eines anderen erraten würde. Versuchen Sie, uns mitzuteilen, wie lange es dauert, bis Sie blockiert werden. Dies ist ein interessanter Test.

So ziemlich jeder tut bereits dies

Ich habe festgestellt, dass beim neuen Google Mail-Login zuerst nach dem Benutzernamen gefragt wird und dann bestätigt wird, ob ein solcher Benutzername vorhanden ist, bevor ich danach gefragt habe Passworteingabe.

Google verfügt bereits über diese Funktion. Wenn Sie versuchen, sich für ein neues Google-Konto anzumelden, muss überprüft werden, ob der Benutzername bereits vorhanden ist oder nicht.

Verstößt dies nicht gegen die gängige Sicherheitsweisheit, keine Informationen darüber preiszugeben, ob ein Benutzername vorhanden ist, um die Klasse von Angriffen zu vereiteln, bei denen viele mögliche Benutzernamen ausprobiert werden?

Wenn sie nicht prüfen würden, wie würden Sie sich ordnungsgemäß authentifizieren? Mehrere Personen mit demselben Benutzernamen sind schlechte Nachrichten für die Integrität der Website. In vielen Fällen können Sie natürlich eindeutige E-Mail-Adressen verwenden und mehreren Personen den gleichen Namen geben.

Wie ich bereits sagte, tun dies so ziemlich alle bereits auf irgendeine Weise. Hier gibt es nichts zu befürchten. Wenn Sie die Massenaufzählung von Benutzernamen verlangsamen möchten, fügen Sie nach einigen Versuchen einfach ein Captcha hinzu.

Captchas können Mass-Mailing-Tricks h2 nicht wirklich verhindern >

Spammer senden häufig große Spam-Mengen an E-Mail-Adressen. Während Google die E-Mail möglicherweise in den Spam-Ordner verschiebt, verhindert dies nicht die Aufzählung durch nicht springende E-Mails.

Es ist trivial, einen Massenmailer zu erstellen, der Tausende verschiedener IP-Adressen verwendet, und dann zu versuchen, eine Aufzählung durchzuführen, indem keine zurückgesendete E-Mail empfangen wird. Sie könnten sogar zufälligen Müll schicken. Denken Sie daran, wenn Sie überprüfen möchten, ob eine E-Mail-Adresse vorhanden ist oder nicht, reicht es aus, nach einigen Tagen keine Fehler-E-Mail zu erhalten.