ユーザーが間違ったパスワードを入力した場合、セキュリティの観点から、次の 2 つのエラー メッセージに違いはありますか?
間違ったユーザー名またはパスワード。
間違ったパスワード。
たとえば、 で間違ったパスワードを入力すると、 「入力しGmail.comたユーザー名またはパスワードが正しくありません」と表示されます。
セキュリティ上の理由で考慮事項はありますか? 「入力したパスワードが正しくありません」というエラー メッセージの方がユーザーにはわかりやすいと思います。さらに、ユーザー名が に存在するかどうかを確認するのは非常に簡単Gmail.comです。「アカウントにアクセスできませんか?」をクリックするだけです。ユーザー名を入力します。ユーザー名が存在しない場合は、それが表示されます。
アイデアは、ハッカーに余分な情報を与えないことです. 間違ったパスワードを言うと、ハッカーに正しいユーザー名を持っていることを伝えたことになり、逆もまた同様です。あなたが言ったことは真実ですが、一部のサイトでは、他の方法でユーザー名を推測したかどうかを判断することができます.
使用する最も簡単で一般的なフレーズは次のとおりです。
「無効なユーザー名またはパスワードを入力しました」
この背後にある理由は、誰かがパスワードを「推測」してアカウントを総当たり攻撃しようとするのを防ぐためです。攻撃者がパスワードが正しくないことを示すエラーを受け取った場合、攻撃者は正しくなるまで別のパスワードを試すことができます。
ただし、上記のような一般的なメッセージを提供すると、攻撃者はユーザー、パスワード、またはその両方の組み合わせが正しいかどうかわかりません。
ファビオ @fcerullo
どうですか
無効な資格情報。もう一度やり直してください。
コンテキストによっては、攻撃者がアカウントの存在を推測できるようにしたくない場合があります。したがって、攻撃者がこのアカウントが存在するかどうかを推測できないように、常に一般的なエラー メッセージが返されます。
GMAIL のコンテキストでは、既存の電子メール アドレスをマイニングする人々がスパム ロボットに使用されることを gmail が望んでいない可能性があります。
アプリケーションでセキュリティを強制する必要があるかどうか、またはよりユーザー フレンドリなエラー メッセージを提供できるかどうかは、自分で決めることができます。