přejít na obsah přejít na navigaci

Linux E X P R E S, Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná

Přihlašování

Vývojář Travis Jefferey tvrdí, že nemá smysl při neúspěšném přihlášení hlásit, že „uživatelské jméno nebo heslo je chybné“. Podle něj může útočník stejně uživatelské jméno poměrně snadno zjistit a jen se tím legitimní uživatel obírá o cenné informace.


Mnohé přihlašovací dialogy reagují na neúspěšné přihlašování zprávou, že uživatelské jméno nebo heslo je chybné. Nerozlišují tak situace, že je chybný konkrétní z těchto údajů nebo jsou chybné/neznámé oba. Bývá to zdůvodněno bezpečností, že tak útočník nezíská informaci o tom, jestli uživatelské jméno existuje, takže mu nestačí lámat jen heslo.

Ovšem vývojář Travis Jefferey tvrdí, že je to nesmysl. Legitimní uživatel takto nemůže zjistit, zda udělal chybu jen v hesle (což je nejčastější situace – už proto, že se heslo nezobrazuje a chyby si tedy nelze všimnout), nebo zadal špatně uživatelské jméno (může samozřejmě nastat situace, že je uživatelské jméno chybné, nicméně platné, pak by software ohlásil chybu v hesle; pozn. aut.).

Naopak útočníkovi to práci příliš nezkomplikuje. Může totiž využít toho, že se při pokusu o registraci uživatele stejně ukáže, zda uživatelské jméno existuje či nikoliv (samozřejmě jen v případě, že se jedná o veřejně využitelný systém, který povoluje registrace; pozn. aut.). Jediné funkční řešení by bylo, kdyby registrace nedávala žádné informace o tom, zda se povedla, a tyto informace by se posílaly jen na e-mailovou adresu, která by byla zároveň uživatelským jménem.

Travis Jefferey pracoval například na projektech Basecamp nebo Taplytics, nyní působí ve firmě Confluent, kde pracuje na cloudové platformě nad Apache Kafka.

Nahoru

Příspěvky

Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná
Pavel Šimerda 26. 12. 2017, 14:57:06
Odpovědět  Odkaz 
Vývojář Travis to podkládá jenom v určitém kontextu bez dalších ochranných mechanismů. V takovém kontextu má vývojář Travis pravdu.
Jeffery: Zpráva, že uživatelské jméno nebo heslo je chybné, je nesmyslná
heslo 25. 09. 2020, 10:36:48
Odpovědět  Odkaz 
Vývojář je vedle. Člověk se může hlásit mnoha různými jmény s různými hesly do různýách systémů. A není těžké setrvačností zadat jiné jméno (třeba předvolené v cache + správné pro jiný systém a správné heslo pro konkrétní systém) a tvrdohlavě se snažit se s touto kombinací /marně/ přihlásit. Kéž by Jeffery věnoval úsilí a čas něčemu přínosnějšímu.

Odpovědět

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz