个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我有一个网站,用户可以在其中登录以访问受限页面。我正在努力使它尽可能安全,因此我尝试遵循“最佳实践”。
为了降低对登录页面进行暴力攻击的风险,我只允许用户尝试登录一定次数。如果用户3次登录失败,账户将被锁定,必须解锁后用户才能再次登录。
我的问题是当账户被锁定时是否应该在登录页面上告诉用户?
从可用性的角度来看,显示一条消息告诉用户帐户已被锁定似乎是正确的做法。但这是否意味着攻击者可以使用它来查找现有用户名?
在一次登录尝试失败后,我只向用户显示“用户名和/或密码不正确”的消息,即我从不告诉用户到底出了什么问题。我这样做是因为否则攻击者可以通过尝试大量用户名来找到现有的用户名,并查看错误消息何时从“错误的用户名”变为“错误的密码”。这是我读过的有关安全的文章推荐的。但是,如果我在帐户被锁定时告诉用户,我会不会遇到同样的情况?攻击者可以尝试很多用户名 3 次,如果显示帐户已锁定的消息,则攻击者知道存在使用该用户名的帐户。
我总是会向帐户被锁定的用户发送电子邮件,但我相信用户不一定会立即看到,并且可能会继续尝试登录,即使帐户已被锁定。我认为这会在用户中造成一些烦恼,特别是如果知道他们使用了正确的凭据并且仍然收到凭据无效的消息(实际上帐户已被锁定,因此凭据无关紧要)。
那么我应该怎么做呢?您自己是如何实现的?
最佳答案
From a usability perspective it seems like the right thing to do to show a message to tell user that the account has been locked. But wouldn't that mean that an attacker could use that to find existing usernames?
取决于您如何实现它 - 如果您只显示有效帐户的消息,那么这将是 username enumeration漏洞。
但是,如果您将所有登录尝试与用户表分开存储,那么您也可以为无效帐户显示虚假的帐户锁定消息。
例如记录所有尝试
Date/Time Username Successful
06/06/14 10:00 foo false
06/06/14 10:01 foo false
06/06/14 10:02 bar false
06/06/14 10:03 foo false
其中 bar 是有效用户而 foo 不是 - 但如果有人再次尝试以 foo 身份登录,现在您可以检查日志的最后 30 分钟并显示 Foo: Your account has been locked..
另请注意,如果您将有效用户拒之门外,这也可能被视为一种针对有效用户的 DoS 攻击。更好的方法可能是对同一用户名或同一 IP 地址的重复尝试进行速率限制。这应该并行完成,以防止攻击者使用多个线程来破坏您的节流。
关于security - 告诉用户帐户已被锁定是否存在安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24059640/
25
4
0
我对 Java 并发性比较陌生(还没有阅读 JCIP,但它在我的列表中!)并且我有一个关于锁定行为的问题。具体来说,Java 是锁定对象的引用,还是锁定对象本身? 代码示例(不是 sscce,因为我不
我的团队使用 TortoiseSVN 编写版本控制代码。有时,有人使用“获取锁定”选项。是否有可能看到解决方案中的锁? 最佳答案 http://tortoisesvn.net/docs/nightly
我在使用 SVN 时遇到了一个小问题。 当我跑 svn stat我明白了: ~ some/dir 当我跑 svn commit -m "test"我明白了:svn: working copy
我启用了 jenkins 安全性,认为它会提示我创建一个帐户。我尝试在 c:/program files/jenkins 中删除和编辑我的 config.xml 文件,但我不确定如何在没有访问权限的情
实现与 S3 结合使用的简单锁定机制的推荐方法是什么? 我想做的例子: 通过对象 ID 获取锁 从 S3 读取对象 修改数据 将对象写入 S3 释放锁 理想情况下寻找基于云的锁定机制。我可以在本地使用
找到这个here : 一般来说,在以下任何情况下,请考虑在列上创建索引: 索引列上存在引用完整性约束,或者列。索引是避免全表锁的一种方法,否则,如果您更新父表主键,则需要,合并到父表中,或从父表中删除
在我的程序中,我将把每个“ block ”数据存储在一个单独的文件中。多个线程都会读取和写入各种文件,我想避免因未正确同步而可能出现的问题。本质上,我想要一个设置,其中每个文件的行为就好像它有自己的
我想使用此script作为资源,通过使用Windows API(重置管理器)与Go for Windows中的内容相同 到目前为止,我的代码是 Rstrtmgr := syscall.NewLazyD
这里的问题是:“这些选择中的哪一个对于线程安全选择的剧院具有最佳性能?” public static List lockList = initializeLocks(); public boolean
我有一个侧面菜单,单击图标时打开,单击页面或单击菜单上的项目时关闭。我正在尝试实现锁定,因此当单击锁定图标时,即使您单击菜单项或页面,菜单也不会关闭。 我能够将图标从锁定图标更改为解锁图标,但我在停止
使用 TRueType 字体编写 SDL 程序。我调用 TTF_Init() 来初始化 TTF 并使用 TTF_OpenFont( name, size ) 打开我的字体。 我有一个例程,可以使用以下
我正在尝试调试基于运行 FreeRTOS 的 STM32F3 uC 的应用程序。我已在应用程序的线程上下文中的随机位置手动将 PSP 设置为无效值(例如 0),希望触发 memManageFault/
我有以下 C# 代码: 1. List bandEdgeList; 2. 3. bandEdgeList = CicApplication.BandEdgeCache.Where(r
我正在用骰子制作游戏。这个想法是持有/锁定骰子。我把骰子做成按钮,这样现在就可以点击它们了。示例:我抛出一个“6”和一个“1”。我点击“6”,所以现在只会抛出“1”。 我对这个有点迷失了,我需要创建
我正在使用以下代码下载约 200mb 的播客并将其写入文档目录: var podcastRequest = NSURLRequest(URL: audioUrl) NSURLConnection.se
下面的类 DoStuff 启动一个线程并同步以保护监听器对象在 null 时不被访问。 现在,当从外部访问 DoStuff 类函数 setOnProgressListener() 时,我遇到了问题,因
我正在编写一个使用巨大背景 Canvas 的网站。我试图锁定浏览器调整大小处理程序以避免滚动问题(背景越界等) 这是我第一次做一个完整的后台网站。任何有关优化的建议(png 大小 580.72 KB
我是 C# 和线程的新手,我有这个问题要解决: 我有一个处理一些数据的线程,它会不时(必要时)触发我在启动线程之前设置的事件方法 (DataProcessor)。该线程位于专有 dll 中。所以我不能
我正在使用相机,我使用的是文档中给出的完全相同的示例: http://developer.android.com/resources/samples/ApiDemos/src/com/example/
我有几个座位可供用户预订。同一时间,只有一个用户可以参与预订过程,这样同一个座位就不会被多个用户预订。在我的 Java 代码中,我使用了“synchronized”关键字来完成它。这行得通。 但是,现
我是一名优秀的程序员,十分优秀!