přejít na obsah přejít na navigaci

Linux E X P R E S, Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Control

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Přihlašování

Vývojář Travis Jefferey tvrdí, že nemá smysl při neúspěšném přihlášení hlásit, že „uživatelské jméno nebo heslo je chybné“. Podle něj může útočník stejně uživatelské jméno poměrně snadno zjistit a jen se tím legitimní uživatel obírá o cenné informace.


reklama

Mnohé přihlašovací dialogy reagují na neúspěšné přihlašování zprávou, že uživatelské jméno nebo heslo je chybné. Nerozlišují tak situace, že je chybný konkrétní z těchto údajů nebo jsou chybné/neznámé oba. Bývá to zdůvodněno bezpečností, že tak útočník nezíská informaci o tom, jestli uživatelské jméno existuje, takže mu nestačí lámat jen heslo.

Ovšem vývojář Travis Jefferey tvrdí, že je to nesmysl. Legitimní uživatel takto nemůže zjistit, zda udělal chybu jen v hesle (což je nejčastější situace – už proto, že se heslo nezobrazuje a chyby si tedy nelze všimnout), nebo zadal špatně uživatelské jméno (může samozřejmě nastat situace, že je uživatelské jméno chybné, nicméně platné, pak by software ohlásil chybu v hesle; pozn. aut.).

Naopak útočníkovi to práci příliš nezkomplikuje. Může totiž využít toho, že se při pokusu o registraci uživatele stejně ukáže, zda uživatelské jméno existuje či nikoliv (samozřejmě jen v případě, že se jedná o veřejně využitelný systém, který povoluje registrace; pozn. aut.). Jediné funkční řešení by bylo, kdyby registrace nedávala žádné informace o tom, zda se povedla, a tyto informace by se posílaly jen na e-mailovou adresu, která by byla zároveň uživatelským jménem.

Travis Jefferey pracoval například na projektech Basecamp nebo Taplytics, nyní působí ve firmě Confluent, kde pracuje na cloudové platformě nad Apache Kafka.

Nahoru

Příspěvky

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná
Pavel Šimerda 26. 12. 2017, 14:57:06
Odpovědět  Odkaz 
Vývojář Travis to podkládá jenom v určitém kontextu bez dalších ochranných mechanismů. V takovém kontextu má vývojář Travis pravdu.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře a podniká v oblasti informačních technologií. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog


Tiskárna Brno