Очень часто формы о забытии пароля не сообщают о том, существует ли реально e-mail или нет. Какой бы e-mail вы не ввели, в ответ вы получите сообщение, что пароль отправлен вам на e-mail. На самом деле, если e-mail не зарегистрирован на сайте, то ждать будете вечно.
У меня несколько e-mail адресов и когда возникает проблема с забытым паролем, мне приходится заполнять форму забытого пароля для каждого из них, если я точно не помню, какой я использовал.
Позиция безопасников, которые требуют такого поведения - сайты не должны говорить, зарегистрирован ли адрес, потому что хакеры могут потом запустить подбор пароля. На мой взгляд это глупость, потому что хакеры запустят подбор даже если не знают, зарегистрирован e-mail или нет.
Google и Microsoft явно считают так же, как и я, потому что у них форма входа без проблем выдает найден адрес в базе или нет. Вход на сайт состоит из двух шагов - сначала вы указываете e-mail, и если он не существует, то ошибку покажут сразу, а если есть, то покажут новую страницу для ввода пароля.
Почему-то Microsoft и Google не боятся говорить, зарегистрирован адрес или нет, а безопастники почему-то думают по другому. Повторюсь, если хакеры хотят запустить перебор пароля, они запускают его на все аккаунту и не думают о том, есть e-mail в базе или нет. Сколько раз сайты Sony гоняли по разным базам. Взломали Linkedin, можно ждать, что через пару дней кто-нибудь запустит подбор по всей этой базе и скрипту перебора будет пофиг, зарегистрирован e-mail из базу Linkedin на сайте Sony или нет.
И от подобных вещей есть другие методы защиты - двуфакторная аутентификация, каптча на форме входа после определенного количества ошибок с одного и того же IP адреса и даже блокировка IP адресов при массовых ошибках. И у Sony я реализовал и то и другое. Помимо двуфакторной аутентификации после определенного количества ошибок проверка входа сначала затормаживается, а потом и блокируется. Если N раз неверно ввести пароль с одного адреса, то потом даже при указании верного пароля форма покажет ошибку, так что дальнейший перебор даже при положительном совпадении не скажет хакерам о правильной паре e-mail и пароля.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Я думал это просто дополнительная защита от составления рекламных рассылок. Что бы нельзя было перебирая логины понимать какие уже есть и составлять из них базу для дальнейшей рассылки рекламы.
Не, это хакерам не нужно, потому что на черном рынке полно e-mail-ов со взломанных сайтов. На найтах Sony безопаснтики тоже заставили реализовать такую фигню и их позиция именно в том, чтобы не знали, какие адреса зарегистрированы.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
