当用户输入错误密码时,哪一条错误信息更好?
当用户输入错误密码时,哪一条错误信息更好?
提问于 2013-02-17 14:30:25
从安全角度看,当用户输入错误密码时,以下两条错误消息之间有什么区别吗?
用户名或密码错误。 密码错了。
例如,当您在Gmail.com上输入错误的密码时,它会告诉您“您输入的用户名或密码不正确”。
是否出于安全考虑?我认为错误信息:“您输入的密码不正确”对用户来说更清楚,而且,更容易检查Gmail.com上是否存在用户名:只需单击“无法访问您的帐户?”然后输入用户名。如果用户名不存在,它会告诉你。
回答 5
Stack Overflow用户
回答已采纳
发布于 2013-02-17 14:33:03
这样做的目的是不给黑客额外的信息。如果你说错误的密码,你已经告诉黑客他们有一个正确的用户名,反之亦然。虽然你说的是真的,但在一些网站上,你可以通过其他方式来判断你是否猜到了一个用户名。
Stack Overflow用户
发布于 2013-02-18 12:45:02
最容易和最常见的短语是:
“您输入了无效的用户名或密码”
这背后的理由是防止有人试图通过“猜测”密码来强迫你的帐户。如果攻击者获得详细说明密码不正确的错误,则他们可以尝试不同的密码,直到正确为止。
但是,如果您提供了像上面这样的通用消息,攻击者就不知道用户、密码或两者的组合是否正确。
Stack Overflow用户
发布于 2017-01-26 12:35:39
只是加了些额外的信息。OWASP指导方针为您提供有关此问题的建议。
Sheet.html#authentication-and-error-messages
无论用户ID或密码是否不正确,应用程序都应使用通用错误消息进行响应。它也不应说明现有帐户的状况。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/14922130
复制相关文章
相似问题
腾讯云开发者
