Username-Enumeration
Was ist Username-Enumeration?
Username-EnumerationSonderfall der Account-Enumeration, bei dem die Antworten der Anwendung verraten, ob ein bestimmter Benutzername existiert, und so Folgeangriffe gezielter ermöglichen.
Username-Enumeration ist die Variante der Account-Enumeration, bei der nicht eine E-Mail oder Telefonnummer, sondern ein Benutzername geprüft wird. Login-Seiten, die zwischen 'Benutzer unbekannt' und 'Passwort falsch' unterscheiden, Passwort-Reset-Workflows, die das Vorhandensein eines Handles bestätigen, API-Endpoints, die für unbekannte Nutzer 404 und für falsche Passwörter 401 zurückgeben, sowie Registrierungsformulare, die vergebene Handles markieren, sind typische Quellen. Mit einer bestätigten Liste gültiger Namen können Angreifer langsames Password Spraying, gezieltes Social Engineering oder Cross-Service-Identitätskorrelation betreiben. Gegenmittel sind einheitliche Meldungen, generische Reset-Antworten, Rate Limiting, missbrauchssensitive CAPTCHAs und MFA.
● Beispiele
- 01
Login-API gibt HTTP 404 für unbekannte Nutzer und HTTP 401 für gültige Nutzer mit falschem Passwort zurück.
- 02
Reset-Formular meldet bei gültigen Handles 'E-Mail prüfen' und sonst 'Benutzer nicht gefunden'.
● Häufige Fragen
Was ist Username-Enumeration?
Sonderfall der Account-Enumeration, bei dem die Antworten der Anwendung verraten, ob ein bestimmter Benutzername existiert, und so Folgeangriffe gezielter ermöglichen. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Username-Enumeration?
Sonderfall der Account-Enumeration, bei dem die Antworten der Anwendung verraten, ob ein bestimmter Benutzername existiert, und so Folgeangriffe gezielter ermöglichen.
Wie funktioniert Username-Enumeration?
Username-Enumeration ist die Variante der Account-Enumeration, bei der nicht eine E-Mail oder Telefonnummer, sondern ein Benutzername geprüft wird. Login-Seiten, die zwischen 'Benutzer unbekannt' und 'Passwort falsch' unterscheiden, Passwort-Reset-Workflows, die das Vorhandensein eines Handles bestätigen, API-Endpoints, die für unbekannte Nutzer 404 und für falsche Passwörter 401 zurückgeben, sowie Registrierungsformulare, die vergebene Handles markieren, sind typische Quellen. Mit einer bestätigten Liste gültiger Namen können Angreifer langsames Password Spraying, gezieltes Social Engineering oder Cross-Service-Identitätskorrelation betreiben. Gegenmittel sind einheitliche Meldungen, generische Reset-Antworten, Rate Limiting, missbrauchssensitive CAPTCHAs und MFA.
Wie schützt man sich gegen Username-Enumeration?
Schutzmaßnahmen gegen Username-Enumeration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Username-Enumeration?
Übliche alternative Bezeichnungen: Benutzer-Enumeration, Login-Enumeration.
● Verwandte Begriffe
- identity-access№ 008
Account-Enumeration
Angriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.
- attacks№ 800
Password Spraying
Langsamer, breit gestreuter Angriff, der wenige gängige Passwörter gegen viele Konten testet und dabei unter Lockout- und Rate-Limit-Schwellen bleibt.
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- network-security№ 904
Rate Limiting
Rate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force.