¿Cómo el mensaje de error "Nombre de usuario o contraseña incorrectos" impide la enumeración de usuarios?

3

Veo que casi todos los sitios web y servicios no te dirán si obtuviste mal tu nombre de usuario o contraseña pero no te diremos cuál.

La razón por la que siempre veo esto es porque le permite a un atacante averiguar qué usuarios están en el sistema, pero para casi todos los sitios web ya puedo resolver esto visitando el perfil de ese usuario que me dará una respuesta 404. o mostrar la página de usuario para ese usuario o puedo intentar registrarme mediante un correo electrónico que me dirá si ya se ha tomado una dirección de correo electrónico / nombre de usuario incluso antes de hacer clic en enviar.

¿Por qué es que estos servicios que permiten la búsqueda fácil de ID de usuario aún intentan ocultar el hecho de que el nombre de usuario existe cuando inicia sesión? Desde mi perspectiva, casi parece que esta es una situación similar a ¿Qué razones técnicas hay para tener una longitud máxima de contraseña baja? Cuando en un caso algo fue útil y luego todos lo copiaron hasta el punto en que se usó fuera de su situación útil.

    
pregunta Qwertie 15.01.2018 - 02:54
fuente

1 respuesta

2

Obviamente, si existen otras técnicas para enumerar a los usuarios, tener un solo mensaje es de poca utilidad. Pero muchos foros solo le permiten ver los perfiles de usuarios una vez que haya iniciado sesión, y si el foro es solo por invitación, no podrá usarlo. Lo más probable es que estén diseñando el sistema de inicio de sesión para cualquier caso / combinación de sistema de inicio de sesión.

Naturalmente, en las aplicaciones de mayor seguridad (banca, etc.) se toman medidas para tratar de garantizar que no haya forma de enumerar a todos los usuarios en el sitio, tanto a través del formulario de inicio de sesión como a través de otros mecanismos en el sitio.

    
respondido por el David 15.01.2018 - 04:00
fuente

Lea otras preguntas en las etiquetas