přejít na obsah přejít na navigaci

Linux E X P R E S, Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Přihlašování

Vývojář Travis Jefferey tvrdí, že nemá smysl při neúspěšném přihlášení hlásit, že „uživatelské jméno nebo heslo je chybné“. Podle něj může útočník stejně uživatelské jméno poměrně snadno zjistit a jen se tím legitimní uživatel obírá o cenné informace.


Mnohé přihlašovací dialogy reagují na neúspěšné přihlašování zprávou, že uživatelské jméno nebo heslo je chybné. Nerozlišují tak situace, že je chybný konkrétní z těchto údajů nebo jsou chybné/neznámé oba. Bývá to zdůvodněno bezpečností, že tak útočník nezíská informaci o tom, jestli uživatelské jméno existuje, takže mu nestačí lámat jen heslo.

Ovšem vývojář Travis Jefferey tvrdí, že je to nesmysl. Legitimní uživatel takto nemůže zjistit, zda udělal chybu jen v hesle (což je nejčastější situace – už proto, že se heslo nezobrazuje a chyby si tedy nelze všimnout), nebo zadal špatně uživatelské jméno (může samozřejmě nastat situace, že je uživatelské jméno chybné, nicméně platné, pak by software ohlásil chybu v hesle; pozn. aut.).

Naopak útočníkovi to práci příliš nezkomplikuje. Může totiž využít toho, že se při pokusu o registraci uživatele stejně ukáže, zda uživatelské jméno existuje či nikoliv (samozřejmě jen v případě, že se jedná o veřejně využitelný systém, který povoluje registrace; pozn. aut.). Jediné funkční řešení by bylo, kdyby registrace nedávala žádné informace o tom, zda se povedla, a tyto informace by se posílaly jen na e-mailovou adresu, která by byla zároveň uživatelským jménem.

Travis Jefferey pracoval například na projektech Basecamp nebo Taplytics, nyní působí ve firmě Confluent, kde pracuje na cloudové platformě nad Apache Kafka.

Nahoru

Příspěvky

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná
Pavel Šimerda 26. 12. 2017, 14:57:06
Odpovědět  Odkaz 
Vývojář Travis to podkládá jenom v určitém kontextu bez dalších ochranných mechanismů. V takovém kontextu má vývojář Travis pravdu.
Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná
heslo 25. 09. 2020, 10:36:48
Odpovědět  Odkaz 
Vývojář je vedle. Člověk se může hlásit mnoha různými jmény s různými hesly do různýách systémů. A není těžké setrvačností zadat jiné jméno (třeba předvolené v cache + správné pro jiný systém a správné heslo pro konkrétní systém) a tvrdohlavě se snažit se s touto kombinací /marně/ přihlásit. Kéž by Jeffery věnoval úsilí a čas něčemu přínosnějšímu.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

OpenRadioss: Simulace dynamických dějů nyní jako open-source

OpenRadiossNa podzim loňského roku Altair překvapil odbornou veřejnost z řad výpočtářů a vývojových inženýrů představením řešiče OpenRadioss. Jak už název napovídá, Open­Radi­oss je open-source verzí explicitní­ho solveru Altair Radioss, CAE nástroje pro simulace rychlých dějů, jakými jsou tolik populární virtuální testy nárazů vozidel, včetně vyhodnocení pasivní bezpečnosti, zkoušky odolnosti leteckých konstrukcí, pádové zkoušky elektronických zařízení a podobně.

Pokračování ...



Public Relations

Zabezpečte firemní komunikaci a chraňte citlivé informace vaší společnosti pomocí MailStore

Stále více malých a středních podniků (MSP) přechází na Microsoft 365 v cloudu. Očekávají přitom, že jejich data jsou zde automaticky v bezpečí. Jenže tak tomu není. Přestože cloudové služby nabízejí vysokou úroveň zabezpečení, nejsou data v Microsoft 365 archivována a zálohována automaticky.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 10. April

Zapojte se do tvorby distribuce Mageia

Podílejte se na vytváření balíčků pro Mageiu, dělejte, co je potřeba, staňte se baličem


Pavel Fric

Pavel Fric, 13. March

Lollypop

Lollypop je hudební přehrávač navržený, jak ukazuje jeho podoba, aby výborně zapadl do pracovního...


Pavel Fric

Pavel Fric, 26. February

QElectroTech

Kreslení elektrotechnických i jiných výkresů


Všechny blogy »