Dans de nombreuses applications Lorsque vous faites une erreur dans votre nom d'utilisateur ou votre mot de passe, vous obtenez une erreur non spécifique indiquant que le nom d'utilisateur entré n'existe pas ou le mot de passe est incorrect pour ce nom d'utilisateur.
i (naïfique) s'attendrait à ce que l'application spécifie quelle l'une des deux erreurs s'est produite. Y a-t-il une raison de ne pas différencier entre eux? Je suppose que cela rendrait plus difficile pour un attaquant de deviner une combinaison de nom d'utilisateur / mot de passe correct, mais existe-t-il une littérature, une recherche ou une ressemblance qui sauvegarde cette hypothèse?
5 Réponses :
La raison serait la sécurité: il empêche Découvrez quels noms d'utilisateur existent Basé sur les tentatives infructueuses.
Cela devrait être équilibré avec l'expérience utilisateur; Si vous êtes dit que votre nom d'utilisateur ou votre mot de passe est incorrect, il peut être perçu comme très inutile ou ennuyeux.
Mais les informations sur les noms d'utilisateur peuvent souvent être obtenues en créant de nouveaux comptes.
Le bon sens dicte qu'un message ambigu est meilleur car un attaquant serait incapable de savoir s'ils devinaient un nom d'utilisateur correct.
C'est un cerceau supplémentaire que l'attaquant doit passer à travers. S'il a attaqué à froid une demande, il ne connaîtra aucun nom d'utilisateur ni mots de passe. Pourquoi lui donner un peu d'informations pour lui dire qu'il a trouvé un nom d'utilisateur? Il vaut mieux retenir les informations.
Et si l'attaquant cherche simplement à confirmer qu'un nom d'utilisateur particulier existe? Dites, le nom d'un politicien en tant que nom d'utilisateur pour un site fétiche, comme exemple. Le nom d'utilisateur lui-même est des informations sensibles et vous ne voulez pas confirmer qui existent et qui ne le font pas.
Oui, c'est exactement pourquoi de nombreuses applications / sites ne spécifient pas quelle partie du login est mauvais. J'avais la même plainte, mais j'ai lu une bouquet de livres de sécurité informatique, y compris 19 péchés meurtriers de sécurité logicielle . Entre autres choses comme les débordements et l'injection SQL, Michael Howard explique le raisonnement de retour d'une erreur unifiée pour les connexions.
htth
Il s'agit de donner à un attaquant la plus petite information que possible. Certains sites vont encore plus loin avec cela sur les rappels de mot de passe. Lorsque vous entrez votre adresse e-mail pour recevoir un nouveau mot de passe ou un lien de réinitialisation du mot de passe, ils ne vous disent pas si votre adresse e-mail est enregistrée dans la base de données, mais vous donnez un message comme celui-ci: «Si l'adresse e-mail que vous avez entrée est dans notre base de données. Vous recevrez un message ... »Cela empêche l'attaquant de déterminer quelle adresse électronique a été utilisée par la victime et peut également annoncer la victime que quelqu'un tente de briser son compte.