有一种安全最佳实践,签署ins不应该说“密码不正确”。相反,他们应该说“用户名或密码不正确”。这种“最佳实践”是胡说八道。
这个想法是如果攻击者知道用户名,他或她可以专注于使用SQL注入的帐户,蛮力强制密码,网络钓鱼等。
所有黑客必须要做的是注册要知道用户名是否有效。为什么要烦恼,那么混淆登录?只有愚蠢的,懒惰的黑客被“用户名或密码不正确”登录。您没有安全,但您的客户丧失了清晰度。
条纹在reCAPTCHA后面有他们的表单提交,以防止天真脚本攻击他们的注册。然而,这已经破裂了多次(1,2)并且可能不会完美。即使reCAPTCHA是完美的,HACKER也可以通过尝试注册来手动验证他们的兴趣用户名,然后在页面上自动化攻击。
为防止攻击者知道帐户是否存在,如果注册成功,则只能拍摄电子邮件地址并在UI中提供无需反馈。相反,用户将收到一封电子邮件,说他们已注册。攻击者会知道是否存在账户的唯一方法是他们是否可以访问目标的电子邮件。