Бесит, когда не сообщают e-mail


2 0

Очень часто формы о забытии пароля не сообщают о том, существует ли реально e-mail или нет. Какой бы e-mail вы не ввели, в ответ вы получите сообщение, что пароль отправлен вам на e-mail. На самом деле, если e-mail не зарегистрирован на сайте, то ждать будете вечно. 

У меня несколько e-mail адресов и когда возникает проблема с забытым паролем, мне приходится заполнять форму забытого пароля для каждого из них, если я точно не помню, какой я использовал. 

Позиция безопасников, которые требуют такого поведения - сайты не должны говорить, зарегистрирован ли адрес, потому что хакеры могут потом запустить подбор пароля. На мой взгляд это глупость, потому что хакеры запустят подбор даже если не знают, зарегистрирован e-mail или нет.

Google и Microsoft явно считают так же, как и я, потому что у них форма входа без проблем выдает найден адрес в базе или нет. Вход на сайт состоит из двух шагов - сначала вы указываете e-mail, и если он не существует, то ошибку покажут сразу, а если есть, то покажут новую страницу для ввода пароля. 

Почему-то Microsoft и Google не боятся говорить, зарегистрирован адрес или нет, а безопастники почему-то думают по другому. Повторюсь, если хакеры хотят запустить перебор пароля, они запускают его на все аккаунту и не думают о том, есть e-mail в базе или нет. Сколько раз сайты Sony гоняли по разным базам. Взломали Linkedin, можно ждать, что через пару дней кто-нибудь запустит подбор по всей этой базе и скрипту перебора будет пофиг, зарегистрирован e-mail из базу Linkedin на сайте Sony или нет. 

И от подобных вещей есть другие методы защиты - двуфакторная аутентификация, каптча на форме входа после определенного количества ошибок с одного и того же IP адреса и даже блокировка IP адресов при массовых ошибках. И у Sony я реализовал и то и другое. Помимо двуфакторной аутентификации после определенного количества ошибок проверка входа сначала затормаживается, а потом и блокируется. Если N раз неверно ввести пароль с одного адреса, то потом даже при указании верного пароля форма покажет ошибку, так что дальнейший перебор даже при положительном совпадении не скажет хакерам о правильной паре e-mail и пароля. 


Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым


Комментарии

Doge

22 Октября 2018

Я думал это просто дополнительная защита от составления рекламных рассылок. Что бы нельзя было перебирая логины понимать какие уже есть и составлять из них базу для дальнейшей рассылки рекламы.


Михаил Фленов

22 Октября 2018

Не, это хакерам не нужно, потому что на черном рынке полно e-mail-ов со взломанных сайтов. На найтах Sony безопаснтики тоже заставили реализовать такую фигню и их позиция именно в том, чтобы не знали, какие адреса зарегистрированы.


Добавить Комментарий

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне