那些遇到过的问题

找不到用户名或密码错误错误消息太模糊

reg*_*gjo 9 security authentication

在许多应用程序中,如果您的用户名或密码出错,则会收到一个非特定错误,指出输入的用户名不存在或该用户名的密码不正确.

我(天真地)希望应用程序指定发生两个错误中的一个.有没有理由不区分它们?我想这会让攻击者更难猜出一个正确的用户名/密码组合,但有没有任何文献,研究或类似的东西支持这个假设?

mol*_*olf 11

原因是安全性:它会阻止根据失败的尝试找出存在哪些用户名.

这应该与用户体验相平衡; 如果你被告知要么您的用户名或密码不正确,它可以被看作是非常无益的或讨厌.

  • 但是,通常可以通过创建新帐户来获取有关存在哪些用户名的信息. (3认同)

归档时间:

查看次数:

4171 次

最近记录:

12 年,10 月 前
相关归档
您的密码在LDAP中有多安全? 16
如何在ASP.Net MVC控制器中正确使用ServiceStack身份验证 14
当用户将计算机置于睡眠状态时,将用户从网站上注销 11
保护UDP - OpenSSL或GnuTls还是......? 8
如何使用 C# 和curl 使用 Api 密钥调用 Google Vertex AI 端点 8
如何找到 AWS 密钥对公钥? 6
使用ant/ivy从nexus检索依赖关系之间的http身份验证? 5
它是SQL注入吗? 4
Laravel 5.2身份验证 - 如何在每个页面中显示登录用户的名称和注销链接? 3
确保用户在Java Web App中进行身份验证 1
难疑归档
如何在Java中读取/转换InputStream为String? 3864
如何使用正则表达式验证电子邮件地址? 3201
数据绑定如何在AngularJS中运行? 1924
我为什么要使用指针而不是对象本身? 1532
如何遍历C#中的所有枚举值? 1359
没有指定分支的"git push"的默认行为 1339
Objective-C中的快捷方式用于连接NSStrings 1114
让Chrome接受自签名的localhost证书 1080
我如何修剪空白? 1035
用于Python的IDE是什么? 1028