Énumération de noms d'utilisateur
Qu'est-ce que Énumération de noms d'utilisateur ?
Énumération de noms d'utilisateurForme spécifique d'énumération de comptes où la réponse de l'application confirme si un nom d'utilisateur donné existe, permettant de cibler les attaques suivantes.
L'énumération de noms d'utilisateur est le cas particulier de l'énumération de comptes où l'identifiant testé est un nom d'utilisateur, non un e-mail ni un téléphone. Pages de login distinguant "utilisateur inconnu" et "mot de passe incorrect", réinitialisations confirmant qu'un handle existe, API renvoyant 404 pour un utilisateur absent et 401 pour un mot de passe erroné, ou formulaires d'inscription révélant les handles déjà pris, exposent tous cet oracle. Avec une liste de noms valides, les attaquants peuvent mener un password spraying lent et discret, cibler l'ingénierie sociale ou corréler des identités entre services. Les défenses incluent des messages uniformes, des réponses génériques, du rate limiting, du CAPTCHA en cas d'abus et de la MFA.
● Exemples
- 01
Une API de login renvoyant HTTP 404 pour un utilisateur inconnu et HTTP 401 pour un utilisateur valide avec mauvais mot de passe.
- 02
Un formulaire de reset affichant 'vérifiez votre e-mail' pour les handles valides et 'utilisateur introuvable' sinon.
● Questions fréquentes
Qu'est-ce que Énumération de noms d'utilisateur ?
Forme spécifique d'énumération de comptes où la réponse de l'application confirme si un nom d'utilisateur donné existe, permettant de cibler les attaques suivantes. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Énumération de noms d'utilisateur ?
Forme spécifique d'énumération de comptes où la réponse de l'application confirme si un nom d'utilisateur donné existe, permettant de cibler les attaques suivantes.
Comment fonctionne Énumération de noms d'utilisateur ?
L'énumération de noms d'utilisateur est le cas particulier de l'énumération de comptes où l'identifiant testé est un nom d'utilisateur, non un e-mail ni un téléphone. Pages de login distinguant "utilisateur inconnu" et "mot de passe incorrect", réinitialisations confirmant qu'un handle existe, API renvoyant 404 pour un utilisateur absent et 401 pour un mot de passe erroné, ou formulaires d'inscription révélant les handles déjà pris, exposent tous cet oracle. Avec une liste de noms valides, les attaquants peuvent mener un password spraying lent et discret, cibler l'ingénierie sociale ou corréler des identités entre services. Les défenses incluent des messages uniformes, des réponses génériques, du rate limiting, du CAPTCHA en cas d'abus et de la MFA.
Comment se défendre contre Énumération de noms d'utilisateur ?
Les défenses contre Énumération de noms d'utilisateur combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Énumération de noms d'utilisateur ?
Noms alternatifs courants : Énumération d'utilisateurs, Énumération de connexion.
● Termes liés
- identity-access№ 008
Énumération de comptes
Attaque qui exploite les différences de réponse d'une application pour déterminer quels comptes, e-mails ou numéros existent sur la cible.
- attacks№ 800
Pulvérisation de mots de passe
Attaque "low and slow" qui essaie un petit lot de mots de passe courants sur de nombreux comptes, en restant sous les seuils de verrouillage et de rate-limit.
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
- attacks№ 821
Hameçonnage
Attaque d'ingénierie sociale où un attaquant se fait passer pour une entité de confiance afin de pousser la victime à révéler des identifiants, transférer de l'argent ou exécuter un logiciel malveillant.
- network-security№ 904
Rate Limiting
Le rate limiting plafonne le nombre de requetes qu'un identifiant (IP, utilisateur, cle API ou token) peut emettre sur une fenetre de temps, protegeant les API et les applis contre l'abus, le scraping et le brute-force.