Distintos mensajes de error por correo electrónico / contraseña incorrectos

Navega tus respuestas
1

Quiero continuar la discusión iniciada en esta pregunta "Nombre de usuario y / o contraseña no válidos": ¿por qué los sitios web muestran este tipo de ¿Mensaje en lugar de informar al usuario cuál fue el incorrecto? pero debido a mi reputación, necesito crear una nueva pregunta.

Así que me pregunto por qué Google y Facebook definitivamente dicen lo que está mal: correo electrónico o contraseña , mientras que algunas personas piensan que esto puede ser un problema de seguridad.

Algunas reflexiones sobre "esto es peligroso porque el pirata informático sabrá que el correo electrónico es válido":

Creo que casi todos los sitios tienen un formulario de recuperación de contraseña con solo un campo de correo electrónico, por lo que es bastante fácil para un pirata informático saber si existe un correo electrónico o no. Simplemente ingresará el correo electrónico en el formulario de recuperación y esperará la respuesta "El correo electrónico de recuperación fue enviado" o "Este correo electrónico no existe".

Sí, el usuario genuino sabrá acerca de este intento de recuperación no genuino y probablemente protegerá su cuenta rápidamente. Pero en caso de forzamiento de contraseña, también podemos notificar a un usuario sobre intentos de inicio de sesión sospechosos (Facebook solía enviar dichos correos electrónicos después de un número de intentos de inicio de sesión fallidos).

    
pregunta Roman Vernik 21.02.2016 - 17:00
fuente

1 respuesta

4

Esencialmente, esto se reduce a un equilibrio entre facilidad de uso y seguridad.

En el caso de Google y Facebook, se supone que prácticamente "todos" tienen una cuenta, por lo tanto, el riesgo de revelar qué dirección de correo electrónico se ha utilizado es mínimo. Minimiza las llamadas de personas que han escrito mal su dirección de correo electrónico. También utilizan métodos bastante avanzados para detectar inicios de sesión fraudulentos, con la capacidad de mostrar una lista de todas las sesiones conocidas, y la detección de inicios de sesión múltiples desde ubicaciones geográficamente distintas (por ejemplo, si inicia sesión desde el Reino Unido y los EE. UU. En una hora). sospechoso está sucediendo).

Sin embargo, para la mayoría de los sitios más pequeños, no existe esa suposición. La mayoría de las personas no tienen una cuenta en ningún sitio web dado, por lo tanto, la información que hacen se vuelve valiosa. En ese caso, puede ocultar razonablemente si alguien es miembro o no, dando un método de rechazo genérico. También puede enviar un mensaje estándar que diga algo como "Hemos enviado un enlace para restablecer la contraseña a la dirección provista - si no lo recibe en unos minutos, revise su carpeta de correo no deseado o verifique dos veces la dirección ingresada". No es necesario que exponga su lista de usuarios a través de pantallas de contraseña olvidadas.

Si los sitios más pequeños podrían asumir que "todos" tienen una cuenta, o ejecutar un conjunto completo de métodos de detección de fraude, como Facebook o Google, no sería un problema, pero el costo de ejecutar ese tipo La protección tiende a ser prohibitiva hasta que se alcanza una escala enorme. Los mensajes de error genéricos, por otro lado, son baratos y efectivos.

    
respondido por el Matthew 21.02.2016 - 17:57
fuente

Lea otras preguntas en las etiquetas

Si le doy mi cuenta bancaria y el número de ruta a un desconocido para recibir un pago único, ¿pueden robarme dinero de mi cuenta? [cerrado] ¿Qué debo configurar el TTL para mi DNS a?