mantener los nombres de usuario como información de inicio de sesión es vulnerable en un sitio web

0

Muchos consejos para no publicar direcciones de correo electrónico en el foro público, ya que algunos pueden intentar varios intentos de inicio de sesión utilizando algunos ataques de fuerza bruta, etc., pero observo que en varios sitios web (incluso en sitios web sensibles que tratan con dinero) puedo encontrar eso utiliza email-id / username para los mecanismos de inicio de sesión y en realidad muestran los nombres de usuario públicamente, como el sitio web de ejemplo GitHub ( enlace ).

Mi pregunta ¿son estos sitios web vulnerables a una amplia gama de ataques de fuerza bruta? Como usar rastreadores web para recopilar una gran cantidad de nombres de usuario y ataques brutos con una sola contraseña popular.

Por ejemplo, "nopassword" es una de las contraseñas más utilizadas por muchas personas  En lugar de usar contraseñas como listas de palabras (método común), el atacante podría usar nombres de usuario que se obtienen de los bots como listas de palabras con una sola contraseña como "nopassword"

Es un ataque de espectro estrecho, pero el atacante podría obtener acceso a una gran cantidad de cuentas que usan contraseñas populares con este método. Entonces, ¿es esto una vulnerabilidad de los sitios web?

    
pregunta VISWESWARAN NAGASIVAM 19.11.2016 - 06:13
fuente

1 respuesta

2

Hay una diferencia entre una 'debilidad' y una vulnerabilidad. Los nombres de usuario no tienen la intención de ser secretos, por lo que una vez que se conoce un nombre de usuario, está sujeto a la aplicación de la ley. Esta es una debilidad con el modelo completo de nombre de usuario / contraseña y cada sitio web que la usa adopta esta debilidad.

Hay formas de mitigar esta debilidad, como la autenticación de dos factores (2FA), pero la debilidad del modelo aún es inherente.

El problema es que no existe una alternativa viable que funcione para todo el mundo. Claro, podría emitir certificados de cliente, pero eso no es fácil de administrar.

    
respondido por el schroeder 19.11.2016 - 09:28
fuente

Lea otras preguntas en las etiquetas