当用户输入错误密码时,从安全角度来看,以下两条错误消息之间是否存在任何差异?
用户名或密码错误 . 密码错误 .
例如,当您在Gmail.com上输入错误的密码时,它会告诉您“您输入的用户名或密码不正确” . 出于安全考虑,有任何考虑因素吗?我认为错误消息:“您输入的密码不正确”对用户来说更清楚了,而且,更方便的是,检查Gmail.com上是否存在用户名非常容易:只需点击“无法访问您的帐户?”并输入用户名 . 如果用户名不存在,它会告诉你 .
那么,从不同的角度来看,安全方面,两条消息并没有太大的不同 . 至少对于允许注册的网站 . 黑客总是可以进入注册页面并尝试注册所述详细信息 . 当然,您的网站最初受到歧义的保护,会立即大喊“用户名被取走!”它看起来就像那时安全是一个神话 .
这个想法是不给黑客额外的信息 . 如果您说错密码,您已经告诉黑客他们有正确的用户名,反之亦然 . 虽然您所说的是真的,但在某些网站上,您可以通过其他方式确定是否猜到了用户名 .
最简单和最常用的短语是:
“您输入的用户名或密码无效”
这背后的原因是为了防止有人试图通过“猜测”密码来破坏您的帐户 . 如果攻击者收到错误,详细说明密码不正确,那么他们可以尝试使用不同的密码,直到正确为止 .
但是,如果您提供上述通用消息,则攻击者不知道用户,密码或两者的组合是否正确 .
法比奥@fcerullo
只需添加一些额外信息 . OWASP指南为您提供有关此问题的建议
https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Authentication_and_Error_Messages
无论用户ID或密码是否不正确,应用程序都应响应一般错误消息 . 它也不应该指示现有帐户的状态 .
在某些情况下,您不希望攻击者能够猜出帐户的存在 . 因此,您将始终返回通用错误消息,以便攻击者无法猜测此帐户是否存在 .
在GMAIL上下文中,gmail可能不希望人们挖掘现有的电子邮件地址以供垃圾邮件机器人使用 .
您自己可以决定是否在您的应用程序中强制执行安全性,或者您是否可以提供更加用户友好的错误消息 .
5 回答
那么,从不同的角度来看,安全方面,两条消息并没有太大的不同 . 至少对于允许注册的网站 . 黑客总是可以进入注册页面并尝试注册所述详细信息 . 当然,您的网站最初受到歧义的保护,会立即大喊“用户名被取走!”它看起来就像那时安全是一个神话 .
这个想法是不给黑客额外的信息 . 如果您说错密码,您已经告诉黑客他们有正确的用户名,反之亦然 . 虽然您所说的是真的,但在某些网站上,您可以通过其他方式确定是否猜到了用户名 .
最简单和最常用的短语是:
“您输入的用户名或密码无效”
这背后的原因是为了防止有人试图通过“猜测”密码来破坏您的帐户 . 如果攻击者收到错误,详细说明密码不正确,那么他们可以尝试使用不同的密码,直到正确为止 .
但是,如果您提供上述通用消息,则攻击者不知道用户,密码或两者的组合是否正确 .
法比奥@fcerullo
只需添加一些额外信息 . OWASP指南为您提供有关此问题的建议
https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Authentication_and_Error_Messages
在某些情况下,您不希望攻击者能够猜出帐户的存在 . 因此,您将始终返回通用错误消息,以便攻击者无法猜测此帐户是否存在 .
在GMAIL上下文中,gmail可能不希望人们挖掘现有的电子邮件地址以供垃圾邮件机器人使用 .
您自己可以决定是否在您的应用程序中强制执行安全性,或者您是否可以提供更加用户友好的错误消息 .