Сколько информации я должен показывать пользователю при неудачной авторизации?

Question

Если пользователь пытается войти на мой сайт (имя пользователя и пароль), но не удается, я должен отобразить , какие поля были неправильными?Или я должен просто заявить, что их учетные данные были недействительными?

Если я имею дело с законным пользователем, было бы более полезно показать им, какие поля были неправильными.Но если нелегитимный пользователь пытается взломать логин, было бы более безопасно отображать только то, что учетные данные были недействительными.

Итак, мне интересно, есть ли надежный ответ на этот вопрос.Есть ли какие-либо известные передовые практики для решения этой проблемы?Или это вопрос известных плюсов и минусов и решения, основанного на чувствительности сайта?

Answer 1

По умолчанию рекомендуется отвечать, что комбинация имени пользователя и пароля была неправильной. Это считается лучшей практикой для публичных входов в систему. Если вы имеете дело с интранет-сайтом, вы можете предоставить больше информации.

Если вы ответили, что имя пользователя правильное, а пароль неправильный, вы даете злоумышленникам знать, что у них есть действительное имя пользователя, и оттуда продолжаете угадывать пароль.

Answer 2

Я думаю, что если пользователь ошибся, это может означать, что он также ошибся и с другим, и поэтому вы должны сказать ему «перепроверить все».

Кроме того, если вы сообщите пользователю, что имя пользователя или пароль были неправильными, то есть другой был прав, если он злонамеренный пользователь, вы помогаете ему.

Answer 3

После многочисленных «этических взломов», выполненных на сайтах, над которыми я работал, рекомендация всегда отображалась как можно меньше.Поэтому, если имя пользователя или пароль не удалось, просто отобразите что-то вроде «Ошибка входа».