přejít na obsah přejít na navigaci

Linux E X P R E S, Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Přihlašování

Vývojář Travis Jefferey tvrdí, že nemá smysl při neúspěšném přihlášení hlásit, že „uživatelské jméno nebo heslo je chybné“. Podle něj může útočník stejně uživatelské jméno poměrně snadno zjistit a jen se tím legitimní uživatel obírá o cenné informace.


Mnohé přihlašovací dialogy reagují na neúspěšné přihlašování zprávou, že uživatelské jméno nebo heslo je chybné. Nerozlišují tak situace, že je chybný konkrétní z těchto údajů nebo jsou chybné/neznámé oba. Bývá to zdůvodněno bezpečností, že tak útočník nezíská informaci o tom, jestli uživatelské jméno existuje, takže mu nestačí lámat jen heslo.

Ovšem vývojář Travis Jefferey tvrdí, že je to nesmysl. Legitimní uživatel takto nemůže zjistit, zda udělal chybu jen v hesle (což je nejčastější situace – už proto, že se heslo nezobrazuje a chyby si tedy nelze všimnout), nebo zadal špatně uživatelské jméno (může samozřejmě nastat situace, že je uživatelské jméno chybné, nicméně platné, pak by software ohlásil chybu v hesle; pozn. aut.).

Naopak útočníkovi to práci příliš nezkomplikuje. Může totiž využít toho, že se při pokusu o registraci uživatele stejně ukáže, zda uživatelské jméno existuje či nikoliv (samozřejmě jen v případě, že se jedná o veřejně využitelný systém, který povoluje registrace; pozn. aut.). Jediné funkční řešení by bylo, kdyby registrace nedávala žádné informace o tom, zda se povedla, a tyto informace by se posílaly jen na e-mailovou adresu, která by byla zároveň uživatelským jménem.

Travis Jefferey pracoval například na projektech Basecamp nebo Taplytics, nyní působí ve firmě Confluent, kde pracuje na cloudové platformě nad Apache Kafka.

Nahoru

Příspěvky

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná
Pavel Šimerda 26. 12. 2017, 14:57:06
Odpovědět  Odkaz 
Vývojář Travis to podkládá jenom v určitém kontextu bez dalších ochranných mechanismů. V takovém kontextu má vývojář Travis pravdu.
Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná
heslo 25. 09. 2020, 10:36:48
Odpovědět  Odkaz 
Vývojář je vedle. Člověk se může hlásit mnoha různými jmény s různými hesly do různýách systémů. A není těžké setrvačností zadat jiné jméno (třeba předvolené v cache + správné pro jiný systém a správné heslo pro konkrétní systém) a tvrdohlavě se snažit se s touto kombinací /marně/ přihlásit. Kéž by Jeffery věnoval úsilí a čas něčemu přínosnějšímu.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

Řešení QNAP typu all-flash

Eva FišerováNeustále rostoucí nároky na výkon, odezvu a propustnost vedou ke zvyšování podílu flash technologií nejen v datových centrech. Dnes typické hybridní úložné systémy jsou tak nahrazovány úložišti typu all-flash, která nabízí velmi nízké latence, miliony IOPS a přitom jsou stále dostupnější. Řešení all-flash od QNAP jsou založena na systému ZFS s optimalizačními technologiemi SSD, díky nimž mohou efektivně nahradit hybridní pole se stejnými náklady na úložiště.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 10. April

Zapojte se do tvorby distribuce Mageia

Podílejte se na vytváření balíčků pro Mageiu, dělejte, co je potřeba, staňte se baličem


Pavel Fric

Pavel Fric, 13. March

Lollypop

Lollypop je hudební přehrávač navržený, jak ukazuje jeho podoba, aby výborně zapadl do pracovního...


Pavel Fric

Pavel Fric, 26. February

QElectroTech

Kreslení elektrotechnických i jiných výkresů


Všechny blogy »