¿Qué tan malo es exponer nombres de usuario válidos?

7

Hoy, como muchas otras veces en el pasado, firmó un nuevo servicio y recibió un mensaje de error común:

  

Tu nombre de usuario o contraseña no son válidos

Esta vez me pregunto qué tan útil es notificar a "contraseña no válida O usuario" en lugar de un esquema de dos mensajes menos común pero más útil con el problema real: "usuario desconocido", "contraseña no válida"

Mi pensamiento fue que un sistema que no especifica si el nombre de usuario es válido, podría ser más seguro porque no expondrá los nombres de usuario válidos. Sin embargo, ¿qué tan práctico es esto en la vida real? Aunque habilita la posibilidad de minar una lista de nombres de usuario. ¿Cuánta amenaza puede ser eso? ¿Realmente vale la pena degradar un poco la experiencia de usuario de inicio de sesión (error ambiguo) a cambio de ocultar la lista de usuarios?

En este momento, la idea de exponer la lista de nombres de usuario válidos parece ser algo muy malo. Sin embargo, no estoy realmente seguro de que sea una paranoia de seguridad injustificada que no sea realmente práctica. Incluso si un atacante puede obtener una lista de buenos nombres de usuario que podría intentar atacar por fuerza bruta, pero si los nombres de usuario se hacen públicos (como en un foro), ¿es solo paranoia evitar exponer nombres de usuario válidos?

ACTUALIZACIÓN :

En un foro, por ejemplo, un rastreador web sería mucho más eficiente para recopilar nombres de usuario que un generador de nombres de usuario Brute Force Logger. Me preguntaba si hay casos válidos en los que los errores de registro ambiguos sean prácticos en absoluto.

    
pregunta SystematicFrank 20.12.2013 - 17:58
fuente

3 respuestas

4

En un ataque lento de fuerza bruta, el uso de una gran red de zombies, la exposición de este tipo de información puede ayudar significativamente a un atacante.

Imaging 10,000 computadoras zombie que intentan iniciar sesión de vez en cuando, primero extraen nombres de usuarios, cuando se 'detecta' una lista de usuarios para las contraseñas.

Digamos que el zombi intenta una vez por hora, eso es 240,000 intentos por día. Internet está lleno de volcados de bases de datos con direcciones de correo electrónico y nombres de usuario para probar.

Aquí algunas publicaciones sobre este tema:

respondido por el rdkleine 20.12.2013 - 18:13
fuente
2

¿Qué tan malo es exponer nombres de usuario válidos? Si permite que el público en general se registre, es inevitable: un atacante que desee verificar si se toma un nombre de usuario puede simplemente intentar registrarse con él. En este caso, no decirles a los usuarios si su nombre de usuario o contraseña fueron incorrectos hace una diferencia insignificante (aparte de los inconvenientes para los usuarios olvidados), y debe seguir adelante y decir cuál fue.

    
respondido por el Blacklight Shining 16.01.2016 - 05:57
fuente
1

La seguridad se trata de capas. Es razonable adoptar este enfoque, ya que no filtra nombres de usuario válidos. Dicho esto, la seguridad a través de la oscuridad no debería ser su único medio de seguridad. Es aconsejable adoptar este enfoque para colocar un bloqueo de carretera adicional (no importa lo pequeño que sea). Solo mi humilde opinión.

    
respondido por el Joshua Moore 20.12.2013 - 18:04
fuente

Lea otras preguntas en las etiquetas