Quale messaggio di errore è migliore quando gli utenti hanno inserito una password errata?

Question

C'è qualche differenza tra i seguenti due messaggi di errore dal punto di vista della sicurezza quando gli utenti hanno inserito una password errata?

Nome utente o password errati.

Password errata.

Ad esempio, quando si immette una password errata su Gmail.com, verrà indicato "Il nome utente o la password immessi non sono corretti". Esistono considerazioni per motivi di sicurezza? Penso che il messaggio di errore: "La password che hai inserito non è corretta" è più chiara per gli utenti, E, inoltre, è molto semplice verificare se esiste un nome utente su Gmail.com: fai semplicemente clic su "Impossibile accedere al tuo account ?" e inserisci il nome utente. Se il nome utente non esiste, te lo dirà.

Answer 1

L'idea è di non fornire agli hacker informazioni aggiuntive. Se dici una password errata, hai detto a un hacker che hanno un nome utente corretto e viceversa. Anche se quello che hai detto è vero, su alcuni siti è possibile determinare se hai indovinato un nome utente con altri mezzi.

Answer 2

In alcuni contesti non si desidera che un utente malintenzionato sia in grado di indovinare l'esistenza di un account. Quindi restituirai sempre il messaggio di errore generico in modo che un utente malintenzionato non possa indovinare se questo account esiste o meno.

Nel contesto GMAIL, è probabile che Gmail non voglia che le persone eseguano il mining degli indirizzi e-mail esistenti per essere utilizzati dai robot antispam.

È possibile decidere se far rispettare la sicurezza nella propria applicazione o se è possibile fornire messaggi di errore più intuitivi.

Answer 3

La frase più semplice e più comune da utilizzare è:

"è stato inserito un nome utente o password non valida"

Il ragionamento dietro questo è quello di impedire a qualcuno di cercare di forza bruta tuo account 'indovinare ' la password. Se l'autore dell'attacco riceve un errore nel quale viene specificata la password errata, è possibile che provino password diverse fino a renderle corrette.

Tuttavia, se si fornisce un messaggio generico come quello riportato sopra, l'utente malintenzionato non sa se l'utente, la password o la combinazione di entrambi è corretta o meno.

Fabio @fcerullo

Answer 4

Solo l'aggiunta di qualche informazione in più. linee guida OWASP offrono raccomandazioni su questo problema

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Authentication_and_Error_Messages

Un'applicazione dovrebbe rispondere con un messaggio di errore generico, indipendentemente dal fatto che l'ID utente o la password sono errati. Dovrebbe anche dare nessuna indicazione allo stato di un account esistente.