ugrás a tartalomhoz

“Invalid Username or Password”: a useless security measure

MadBence · 2014. Dec. 5. (P), 10.50
Van-e értelme a biztonsági szempontból teljesen haszontalan hibaüzeneteknek?
 
1

Végre valaki megírta.

Joó Ádám · 2014. Dec. 5. (P), 10.51
Végre valaki megírta. Kiakasztó.
2

"If you tell an attacker the

virág · 2014. Dec. 5. (P), 10.56
"If you tell an attacker the email address is wrong, they'll try a different one."

Mert a komoly támadók azok ülnek a gép előtt és egyenként próbálkoznak belépni? :) Oké, egy szkript is el tudja olvasni... :) Nem beszélve arról, hogy ha nincs a időkorlátos védelem egy login űrlapon (egy időegység alatt hányszor próbálkozhatsz sikertelnül belépni), akkor ez eléggé komolytalan. Elolvastam a bejegyzést, van benne egy-két érdekes gondolat - nem vitatom, de alapjában véve úgy érzem, hogy nyögvenyelős ez az egész egy kicsit... de ezeket mások is leírták a cikk alatt a hozzászólásokban.
3

Nem teljesen értem, amit

Joó Ádám · 2014. Dec. 5. (P), 11.36
Nem teljesen értem, amit írsz, mert az érved, miszerint amúgy is korlátozni kell a belépési kísérletek számát, éppen a cikk mondandóját támasztja alá.

Az azonosító arra való, hogy azonosítson, a jelszó arra, hogy hitelesítsen. Az azonosító nem második jelszó.
4

Nem megmondani

vbence · 2014. Dec. 6. (Szo), 15.53
A cikk alapvetésében kihagyja, hogy ha a támadó regisztrációs kísérlettel próbál meggyőződni, hogy az e-mail cím tulajdonosa regisztrálva van-e az adott rendszerben, és nincs, akkor a kísérlet a tulajdonos tudomására jut (megkapja a regisztrációs emailt). - Erre a jogos felhasználó jó esetben jelszavai lecserélésével reagál.

Ha valaki identitását akarom támadni akkor mindent meg fogok tenni, hogy ez elkerülje az adott személy figyelmét.

Telejsen járható út, ha regisztrációs kísérletkor sem adunk egyből választ a képernyőn, csak e-mailben (ahogy a cikk is írja) - jelenleg a legtöbb szolgáltatás amúgy is e-mail alapú. A kísérletről pedig mindnekippen jó ötlet értesíteni az account tulajdonosát.
5

Érdekes kérdés, sokan úgy

inf · 2015. Jan. 5. (H), 23.00
Érdekes kérdés, sokan úgy futnak neki a beléptetéshez, hogy email cím + jelszó azonosítja a felhasználót, és maga az oldal csak felhasználói nevet jelenít meg. Így ha valaki nem tudja az adott felhasználó email címét, akkor nem tudja támadni annak accountját célzottan. Az email címet is próbálják titokban tartani, mert különben spam célpont lenne, ezért gondolták úgy, hogy megfelel ez a fajta hibaüzenet. A probléma nyilván az, amit a cikkben írnak, hogy a regisztrálásnál ugyanúgy be lehet írni email címeket, és kidobja a rendszer, hogy már regisztrálva van.

Ezt át lehet hidalni úgy, hogy minden esetben email-t küldenek, és ha regisztrálva van, akkor azt küldik el, plusz megváltoztatják a jelszót az újra. A másik lehetőség, hogy betesznek a regisztrációs oldalra egy captchat, ami lassítja a scripteket, így a login oldalon védve van az email cím, a regisztrációs oldalon meg csak lassan lehet kinyerni. A harmadik lehetőség, hogy nem törődnek az email cím védelmével, a negyedik, hogy felhasználói névvel léptetik be az embereket, és az accountokra vonatkozó célzott támadásokkal nem törődnek. Az ötödik meg, hogy email cím helyett egy véletlen karakter sorozattal léptetik be az embereket, amit más nem ismer.

Szerintem biztonsági szempontból mindenképp jobb, ha a felhasználó azonosító sem publikus és nem csak a jelszó vagy több faktoros beléptetés van, csak átgondoltan kell megcsinálni hozzá a rendszert.