Estoy interesado en la intersección de la enumeración de cuentas y el inicio de sesión único. A menudo, habrá usuarios SSO solo y no SSO uno junto al otro en una aplicación, y en términos de facilidad de uso, los usuarios de SSO deberán ser redirigidos a su portal de inicio de sesión específico.
Un ejemplo que encontré es el redireccionamiento de Office365 basado en el nombre de dominio de su dirección de correo electrónico. Si bien no se filtra ningún nombre de usuario en particular, un atacante ahora es consciente de que una empresa en particular usa Office365 y puede limitar sus búsquedas.
Por ejemplo:
- Vaya a enlace
- Ingrese una de las siguientes direcciones de correo electrónico-
Se espera: la dirección de correo electrónico de Microsoft y Exxon se redirige a sus portales de inicio de sesión, la dirección de correo electrónico de Walmart permanece con el inicio de sesión predeterminado.
Mis preguntas:
- ¿Cómo podría evitarse esta filtración de información?
- Esta redirección está en el nivel de dominio. Si tenía usuarios de solo SSO y no SSO con el mismo dominio (por ejemplo, [email protected] y [email protected] tienen diferentes páginas de inicio de sesión), ¿cómo puede equilibrar la facilidad de uso y la seguridad con la enumeración de la cuenta?