以前一直好奇,为啥登录一个站点,每次提示,只是提示用户名或者密码错误,而不精确到是用户名错误还是密码错码。觉得用户体验一点都不好。自己还要去猜到底是哪个错误了。得一直去测试。后面了解到,这样做是好的。
模糊提示,为了安全,不然可能会导致被密码机试出来,从长远来看,牺牲部分用户体验保证更多的安全是值得的。让看到的人获得更少的信息量防止你的账号或密码泄露的,如果他光弹出密码错误那么攻击者就会知道原来这个账号是存在的。从而使攻击者多知道了一点信息。所以从这个角度来说,提示得模糊点,是有必要的。
一般会分为两种提示:
“你验证码错误”,“你的账号或者密码错误”
为什么账号和密码错误提示不分开?
1.如果将账号错误和密码错误分开,攻击者可以一直输入账号,这样就知道哪些账号是已经注册成功的,这样就就可以估算出你的用户数(对于部分企业这个是公司机密!)
攻击者知道账号已经注册成功后,就可以暴力破解你的密码了,一个个试也可以试出来。
所以部分公司将账号和密码错误的提醒是用同一个提示的,这样就可以减少被账号被盗取的可能。敢把这两个提示分开的,要么是公司对账号的保密性不高,要么就是通过其他方式提高了暴力破解的难度(例如根据ip限定最大尝试次数等方式)
2.将账号和密码分开提示还有一个问题就是:
如果你用邮件注册的,当你的邮箱被别人破解了之后,人家会利用你的邮箱去到各家网站撞库,加入网站提示密码错误,那么攻击者就知道你在这个网站注册了,然后通过忘记密码功能,就把你所有网站信息都获取了(特别是一些比较敏感的网站,例如金融账号,社交账号,在线云盘等等)
转账自:/discuss/1000000000171550
如果觉得《登陆界面的错误 只提示用户名或者密码错误?为何不能给出准确提示呢?》对你有帮助,请点赞、收藏,并留下你的观点哦!
