Preguntas con etiqueta 'user-enumeration'

preguntas con etiqueta
10
respuestas

Nuevo sistema de inicio de sesión de Gmail: ¿va en contra de la sabiduría convencional?

Me di cuenta de que el nuevo inicio de sesión de gmail solicita primero un nombre de usuario y luego confirma si existe dicho nombre de usuario, antes de solicitar la entrada de la contraseña. ¿Esto no va en contra de la sabiduría de segurida...
hecha 08.05.2015 - 18:06
9
respuestas

Mensaje de error genérico para una contraseña o nombre de usuario incorrectos: ¿es esto realmente útil?

Es muy común (y diría que es un tipo de seguridad básica) que no se muestre en la página de inicio de sesión si el nombre de usuario o la contraseña fueron incorrectos cuando un usuario intenta iniciar sesión. Uno debería mostrar un mensaje gené...
hecha 07.07.2014 - 21:41
3
respuestas

¿Corregir los nombres de usuario mal escritos crea un riesgo de seguridad?

¿Corrigiendo un nombre de usuario mal escrito y solicitando al usuario un nombre de usuario válido presenta un riesgo de seguridad? Recientemente intenté iniciar sesión en Facebook y escribí mal mi correo electrónico. Me pidieron el siguiente...
hecha 10.05.2016 - 15:36
7
respuestas

¿No es seguro mostrar el mensaje de que el nombre de usuario / cuenta no existe al iniciar sesión? [duplicar]

De acuerdo con las OWASP Auth Guidelines , "Una aplicación debe responder con un mensaje de error genérico independientemente de si el ID de usuario o la contraseña eran incorrectos. Tampoco debería indicar el estado de una cuenta existente "...
hecha 25.04.2017 - 14:41
7
respuestas

Mitigar la amenaza de ataque de tiempo contra la página de recuperación de contraseña

Recientemente, se realizó una revisión de seguridad externa en un sitio web público que administramos. Señalaron que en la "página de recuperación de contraseña", existen diferentes tiempos de respuesta cuando se proporcionan nombres de usuario...
hecha 09.10.2015 - 15:55
4
respuestas

¿Enumeración de nombre de usuario?

Por lo que entiendo, es una mala práctica de seguridad mostrar mensajes informativos de inicio de sesión fallidos, como:    El correo electrónico que ingresaste no existe En lugar de    Combinación incorrecta de correo electrónico / co...
hecha 24.09.2013 - 17:16
2
respuestas

Vulnerabilidad de enumeración de usuarios al crear una cuenta de Google

Cuando creamos una cuenta de Google, Google nos dice si existe o no una cuenta con un nombre de usuario específico. ¿Eso no lleva a la enumeración de usuarios? ¿Por qué no permitir que los usuarios completen otra información primero, p...
hecha 06.08.2014 - 17:43
5
respuestas

Cómo impedir la enumeración de usuarios en la página de registro

Tiene un sitio web en el que los usuarios inician sesión y desea evitar la enumeración de usuarios. En la página de inicio de sesión y en la página de contraseña olvidada, esto puede lograrse mediante una elección cuidadosa de los mensajes de...
hecha 10.10.2014 - 12:51
6
respuestas

Olvidó la contraseña y reveló si la cuenta existe [duplicado]

Entonces, cuando llegas al enlace de contraseña olvidada e ingresas tu dirección de correo electrónico, parece que los sitios (y otros programadores con los que he hablado) son uno de los dos modos de pensar; Notifique al usuario si la dir...
hecha 29.08.2015 - 03:25
1
respuesta

¿CAPTCHA es suficiente para frustrar la enumeración de usuarios?

Diga que tengo un sitio que tiene un proceso de registro de usuarios en el que, cuando un usuario ingresa una dirección de correo electrónico que ya está en uso, aparece un mensaje de error que lo indica. Esto parece ser una forma fácil para que...
hecha 25.07.2013 - 17:16