In vielen Anwendungen erhalten Sie bei einem Fehler in Ihrem Benutzernamen oder Passwort einen unspezifischen Fehler, der darauf hinweist, dass entweder der eingegebene Benutzername nicht existiert oder das Passwort für diesen Benutzernamen falsch ist.
Ich (naiv) würde erwarten, dass die Anwendung angibt, welcher einer der beiden Fehler passiert ist. Gibt es einen Grund, nicht zwischen ihnen zu unterscheiden? Ich schätze, es würde es einem Angreifer erschweren, eine korrekte Kombination aus Benutzername und Passwort zu erraten, aber gibt es Literatur, Forschung oder ähnliches, die diese Annahme stützen?
Der Grund wäre Sicherheit: Es verhindert herauszufinden, welche Benutzernamen existieren , basierend auf fehlgeschlagenen Versuchen .
Dies sollte mit der Benutzererfahrung in Einklang gebracht werden; Wenn Ihnen mitgeteilt wird, dass entweder Ihr Benutzername oder Ihr Passwort falsch ist, kann dies als wenig hilfreich oder störend empfunden werden.
Ja, genau deshalb geben viele Apps / Seiten nicht an, welcher Teil des Login falsch ist. Ich hatte die gleiche Beschwerde, aber dann las ich eine Reihe von Computer-Sicherheitsbüchern, einschließlich 19 Todsünden der Software-Sicherheit Neben anderen Dingen wie Überläufen und SQL-Injection erklärt Michael Howard die Gründe für die Rückgabe eines einheitlichen Fehlers für Logins.
HTH
Der gesunde Menschenverstand diktiert, dass eine mehrdeutige Nachricht besser ist, weil ein Angreifer nicht wissen könnte, ob er einen korrekten Benutzernamen errät hat.
Es ist ein zusätzlicher Reifen, den der Angreifer durchspringen muss. Wenn er eine Anwendung kalt angreift, kennt er keine Benutzernamen oder Kennwörter. Warum gib ihm ein paar zusätzliche Informationen, um ihm zu sagen, dass er einen Benutzernamen gefunden hat? Es ist besser, die Informationen zurückzuhalten.
Was ist, wenn der Angreifer nur versucht, zu bestätigen, dass ein bestimmter Benutzername existiert? Sprich der Name eines Politikers als Benutzername für eine Fetischseite, als Beispiel. Der Benutzername selbst ist eine vertrauliche Information und Sie möchten nicht bestätigen, welche existieren und welche nicht.
Es geht darum, einem Angreifer so wenig Informationen wie möglich zu geben. Einige Websites gehen sogar noch weiter mit Passwort Erinnerungen. Wenn Sie Ihre E-Mail-Adresse eingeben, um ein neues Passwort oder einen Link zum Zurücksetzen des Passworts zu erhalten, erfahren Sie nicht, ob Ihre E-Mail-Adresse in der Datenbank registriert ist. Sie erhalten jedoch eine Nachricht wie folgt: "Wenn sich die von Ihnen eingegebene E-Mail-Adresse in unserer Datenbank befindet Sie erhalten eine Nachricht ... "Dies verhindert, dass der Angreifer herausfinden kann, welche E-Mail-Adresse das Opfer verwendet hat, und kann auch das Opfer ankündigen, dass jemand versucht, in sein Konto einzudringen.
Tags und Links security authentication