Al estar en la lista de correo electrónico de seguridad de la empresa, recibo correos electrónicos con cierta frecuencia quejándome sobre el descubrimiento de correos electrónicos en varias formas en el sitio web de mi empleador. Los reporteros se quejan de cosas como que nuestro formulario de inicio de sesión devuelve un mensaje específico como "Su contraseña es incorrecta". en lugar de "El correo electrónico / contraseña proporcionados son incorrectos". Esto permite a los posibles atacantes saber que cierta dirección de correo electrónico está en uso para una cuenta.
Entiendo el problema aquí, y es fácil cambiar los mensajes para un formulario de inicio de sesión o recuperación de cuenta. Sin embargo, ¿qué puedo hacer con un formulario de registro? Solo queremos una cuenta para cualquier dirección de correo electrónico dada. He examinado algunos otros servicios populares en línea y sus formularios de registro específicamente te dicen que la dirección de correo electrónico está en uso.
¿No hay forma de evitar esto? Si ese es el caso, ¿realmente debería prestar atención a las personas que se quejan del descubrimiento de correo electrónico en el formulario de inicio de sesión?