Diga que tengo un sitio que tiene un proceso de registro de usuarios en el que, cuando un usuario ingresa una dirección de correo electrónico que ya está en uso, aparece un mensaje de error que lo indica. Esto parece ser una forma fácil para que un usuario malicioso enumere usuarios.
¿Sería suficiente agregar CAPTCHA al proceso de registro para evitar la enumeración de usuarios?
¡Sí! Para que la enumeración de usuarios en un formulario de registro de cuenta sea de alguna utilidad, un atacante tendrá que hacer miles de adivinanzas automatizadas. Esta vulnerabilidad no se trata de mensajes de error informativos, de hecho, incluso si elimina el mensaje de error, aún no puede permitir que dos usuarios ocupen el mismo nombre de usuario. Solo con este error general, un atacante puede determinar que un nombre de usuario está en uso.
Lea otras preguntas en las etiquetas web-application user-names user-enumeration