it-swarm.com.de

Warum werden bei der Anmeldefehlermeldung immer die falschen Fälle für Benutzername / Passwort gemischt?

Beispiel: Wenn ich versuche, einen Dienst mit einer Kombination aus Benutzername und Kennwort anzumelden, wird die Fehlermeldung immer als "Benutzername oder Kennwort ist ungültig" zurückgegeben. Der tatsächliche Fall ist jedoch, dass ich einen falschen Benutzernamen eingebe, der auf dieser Site nicht einmal existiert. Warum sagt mir die Nachricht nicht einfach, dass der Benutzername nicht existiert?

Ich habe es mit mehreren Diensten versucht. Nur Facebook sagt mir, dass mein Konto nicht existiert. Andere (Google, Twitter, SlideShare, Yahoo!) schließen die Möglichkeit eines falschen Passworts einfach nicht aus.

Ich frage mich, warum dies eine gängige Praxis ist. Ist es eine Tradition, die aus der alten Zeit stammt und ein großes Verbesserungspotential hat, oder verhält sie sich aus rechtlichen Gründen so?

15
0065paula

In Bezug auf den Schutz der Privatsphäre der Benutzer ist dies sinnvoll, da das Feedback (Fehlermeldung) die potenziell böswillige Person oder den potenziell böswilligen Bot nicht kategorisch darüber informiert, dass "Sie den richtigen Benutzernamen gefunden haben. Jetzt müssen Sie nur noch das Passwort erraten/knacken." ""

43
Allan Caeg

Dies dient nicht nur dem Schutz der Privatsphäre der Benutzer, sondern ist auch eine Art Sicherheitslücke bei der Offenlegung von Informationen.

Dies bedeutet, dass ich zu einem Anmeldefeld gehen und versuchen kann, Benutzernamen zu erraten. Wenn das System mir "ungültiger Benutzername" sagt, weiß ich jetzt, dass der von mir eingegebene Benutzername ungültig ist.

7
AndrewJacksonZA

Um Ihre Frage zu beantworten, besteht die Praxis, wie bereits erwähnt, darin, die Sicherheit zu erhöhen, indem einem böswilligen Benutzer oder Skript nicht mitgeteilt wird, ob ein bestimmter Benutzername verwendet wird (verfügbar, um zu versuchen, sich zu "hacken"). Dies ist kein rechtliches Problem, da, wie Sie festgestellt haben, dies nicht alle Dienste tun.

Interessanterweise ist dies in der Praxis angesichts anderer Entwurfsentscheidungen nicht allzu sicher (für ein E-Mail-Konto müssen Sie lediglich eine E-Mail senden, und wenn sie nicht abprallt, haben Sie eine ziemlich gute Vorstellung davon, ob sie verfügbar ist). . Ihre Frage erinnerte mich an einen großartigen Artikel, den ich vor einiger Zeit darüber gelesen habe:

Social Login Buttons sind es nicht wert

Hier sind die relevanten Teile:

Bei der Untersuchung von Anmeldemustern in freier Wildbahn haben wir auch einige Benutzer auf unserer Anmeldeseite beobachtet und einige kleinere Dinge herausgearbeitet, die wir ändern könnten, um den Einstieg in die App zu erleichtern. Unser altes Anmeldeformular sagte den Benutzern: "Ihr Benutzername oder Passwort ist falsch", wenn sie möglicherweise den richtigen Benutzernamen haben, das Passwort jedoch falsch war. Wenn Sie 4 mögliche Benutzernamen und 4 mögliche Passwörter haben, haben Sie 16 mögliche Kombinationen zwischen diesen - von denen nur eine korrekt ist. Dies bedeutet, dass der Benutzer in diesem Szenario 15 Chancen hat, beim Anmelden einen Fehler zu machen. Wenn Sie jedoch genau wissen, dass Ihr Benutzername falsch ist, sinkt die Wahrscheinlichkeit eines Fehlers drastisch.

Er bezieht sich auf die Tatsache, dass einige UX-Änderungen im Anmeldebildschirm (für ihre App) zu einer Verringerung der Anmeldefehler um 66% und zu einer Verringerung der Zurücksetzungen von Passwörtern um 42% führten, wobei im folgenden Monat weitere 5% zurückgingen.

Bei der Untersuchung von Anmeldemustern in freier Wildbahn haben wir auch einige Benutzer auf unserer Anmeldeseite beobachtet und einige kleinere Dinge herausgearbeitet, die wir ändern könnten, um den Einstieg in die App zu erleichtern. Unser altes Anmeldeformular sagte den Benutzern: "Ihr Benutzername oder Passwort ist falsch", wenn sie möglicherweise den richtigen Benutzernamen haben, das Passwort jedoch falsch war. Wenn Sie 4 mögliche Benutzernamen und 4 mögliche Passwörter haben, haben Sie 16 mögliche Kombinationen zwischen diesen - von denen nur eine korrekt ist. Dies bedeutet, dass der Benutzer in diesem Szenario 15 Chancen hat, beim Anmelden einen Fehler zu machen. Wenn Sie jedoch genau wissen, dass Ihr Benutzername falsch ist, sinkt die Wahrscheinlichkeit eines Fehlers drastisch.

Das Engineering-Team, das stets auf Sicherheit bedacht war, argumentierte, dass es für Bösewichte schwieriger sei, Benutzernamen zu erraten, indem sie das Formular mit zufälligen Wörtern oder E-Mail-Adressen schlagen. Nach einigen weiteren Überlegungen haben wir jedoch festgestellt, dass es sich um ein falsches Risiko handelt, da das Formular zur Erinnerung an den Benutzernamen bereits angibt, ob ein Benutzername vorhanden ist, und kein signifikantes Sicherheitsrisiko für die Bajilions von Websites darstellt, auf denen diese vorhanden sind.

Obwohl es den Anschein haben mag, dass es ein Sicherheitsmerkmal ist, den Benutzer, der versucht, sich anzumelden, nicht darüber zu informieren, dass "der Benutzername existiert, aber das Passwort falsch ist", kann dies durch andere Entscheidungen untergraben werden und ist in Wirklichkeit mit einer Reihe anderer Probleme behaftet ( schlechte Anmeldungen, Zurücksetzen des Passworts usw.). Jeder Fall muss all dies berücksichtigen, um die beste Entscheidung zu treffen.

3
insaner

Etwas, das noch nicht erwähnt wurde. Viele Dienste verwenden E-Mail-Adressen als Benutzernamen. Wenn der Dienst ein falsches Passwort angegeben hat, wissen Sie, dass Sie den richtigen Benutzernamen haben. Das bedeutet, dass jemand anderes herausfinden kann, welche Dienste Sie verwenden.

2
johnny

Ein weiterer Grund ist, dass Programmierer prüfen, ob das Paar aus Benutzername und Passwort vorhanden ist. Die Antwort darauf kann nur "Ja" oder "Nein" sein, daher die vage Fehlermeldung.

1
Bobby Tables

Um die letzte Frage in den Kommentaren zur obersten Antwort zu beantworten ... für vergessene Passwörter ist die übliche Praxis der Link für vergessene Passwörter. Von dort aus können Sie eine zurückgesetzte E-Mail an die hinterlegte E-Mail-Adresse für einen bestimmten Benutzernamen senden OR Sie können die Ihrem Konto zugeordnete E-Mail-Adresse eingeben. Diese Methode stellt sicher, dass nur der Kontoinhaber hat Zugriff, auch wenn das Passwort vergessen wurde.

Manchmal ist eine zusätzliche Bestätigung erforderlich, um diese E-Mail an sich selbst zu senden, z. B. Ihre Kontonummer, SSN, der zweite Vorname des Vaters oder eine solche Frage.

0
Taj Moore