“Invalid Username or Password”: a useless security measure
Van-e értelme a biztonsági szempontból teljesen haszontalan hibaüzeneteknek?
■ H | K | Sze | Cs | P | Szo | V |
---|---|---|---|---|---|---|
25 | 26 | 27 | 28 | 29 | 30 | 1 |
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 | 1 | 2 | 3 | 4 | 5 |
Végre valaki megírta.
"If you tell an attacker the
Mert a komoly támadók azok ülnek a gép előtt és egyenként próbálkoznak belépni? :) Oké, egy szkript is el tudja olvasni... :) Nem beszélve arról, hogy ha nincs a időkorlátos védelem egy login űrlapon (egy időegység alatt hányszor próbálkozhatsz sikertelnül belépni), akkor ez eléggé komolytalan. Elolvastam a bejegyzést, van benne egy-két érdekes gondolat - nem vitatom, de alapjában véve úgy érzem, hogy nyögvenyelős ez az egész egy kicsit... de ezeket mások is leírták a cikk alatt a hozzászólásokban.
Nem teljesen értem, amit
Az azonosító arra való, hogy azonosítson, a jelszó arra, hogy hitelesítsen. Az azonosító nem második jelszó.
Nem megmondani
Ha valaki identitását akarom támadni akkor mindent meg fogok tenni, hogy ez elkerülje az adott személy figyelmét.
Telejsen járható út, ha regisztrációs kísérletkor sem adunk egyből választ a képernyőn, csak e-mailben (ahogy a cikk is írja) - jelenleg a legtöbb szolgáltatás amúgy is e-mail alapú. A kísérletről pedig mindnekippen jó ötlet értesíteni az account tulajdonosát.
Érdekes kérdés, sokan úgy
Ezt át lehet hidalni úgy, hogy minden esetben email-t küldenek, és ha regisztrálva van, akkor azt küldik el, plusz megváltoztatják a jelszót az újra. A másik lehetőség, hogy betesznek a regisztrációs oldalra egy captchat, ami lassítja a scripteket, így a login oldalon védve van az email cím, a regisztrációs oldalon meg csak lassan lehet kinyerni. A harmadik lehetőség, hogy nem törődnek az email cím védelmével, a negyedik, hogy felhasználói névvel léptetik be az embereket, és az accountokra vonatkozó célzott támadásokkal nem törődnek. Az ötödik meg, hogy email cím helyett egy véletlen karakter sorozattal léptetik be az embereket, amit más nem ismer.
Szerintem biztonsági szempontból mindenképp jobb, ha a felhasználó azonosító sem publikus és nem csak a jelszó vagy több faktoros beléptetés van, csak átgondoltan kell megcsinálni hozzá a rendszert.