Enumeração de contas
O que é Enumeração de contas?
Enumeração de contasAtaque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo.
A enumeração de contas explora diferenças no comportamento da aplicação entre contas existentes e inexistentes - mensagens de erro distintas em login, registo ou recuperação de palavra-passe, variações de tempo, códigos HTTP diferentes. Ao testar muitos identificadores candidatos, o atacante constrói uma lista de contas válidas que poderá depois atacar por phishing, credential stuffing ou password spraying. A vulnerabilidade é comum em formulários de início de sessão ("utilizador desconhecido" vs "palavra-passe incorreta"), recuperação ("verifique o seu e-mail" vs "conta não encontrada") e registo ("e-mail já registado"). Defesas incluem mensagens uniformes, respostas em tempo constante, notificações genéricas, rate limiting por IP e conta, CAPTCHA em caso de abuso e MFA para mitigar ataques subsequentes.
● Exemplos
- 01
Formulário de registo que indica 'este e-mail já está em uso', permitindo recolher e-mails válidos.
- 02
Tempos de resposta diferentes em /login para utilizadores conhecidos e desconhecidos, usados para construir uma lista.
● Perguntas frequentes
O que é Enumeração de contas?
Ataque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Enumeração de contas?
Ataque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo.
Como funciona Enumeração de contas?
A enumeração de contas explora diferenças no comportamento da aplicação entre contas existentes e inexistentes - mensagens de erro distintas em login, registo ou recuperação de palavra-passe, variações de tempo, códigos HTTP diferentes. Ao testar muitos identificadores candidatos, o atacante constrói uma lista de contas válidas que poderá depois atacar por phishing, credential stuffing ou password spraying. A vulnerabilidade é comum em formulários de início de sessão ("utilizador desconhecido" vs "palavra-passe incorreta"), recuperação ("verifique o seu e-mail" vs "conta não encontrada") e registo ("e-mail já registado"). Defesas incluem mensagens uniformes, respostas em tempo constante, notificações genéricas, rate limiting por IP e conta, CAPTCHA em caso de abuso e MFA para mitigar ataques subsequentes.
Como se defender contra Enumeração de contas?
As defesas contra Enumeração de contas costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Enumeração de contas?
Nomes alternativos comuns: Enumeração de utilizadores, Enumeração de identificadores.
● Termos relacionados
- identity-access№ 1196
Enumeração de nomes de utilizador
Forma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes.
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
- attacks№ 800
Pulverização de palavras-passe
Ataque "low and slow" que testa um pequeno conjunto de palavras-passe comuns em muitas contas, mantendo-se abaixo dos limites de bloqueio e rate-limit.
- attacks№ 821
Phishing
Ataque de engenharia social no qual o atacante se faz passar por uma entidade de confiança para enganar a vítima e obter credenciais, transferir dinheiro ou executar malware.
- network-security№ 904
Rate Limiting
O rate limiting limita o numero de requisicoes que um identificador (IP, usuario, chave de API ou token) pode fazer em uma janela de tempo, protegendo APIs e aplicacoes contra abuso, scraping e brute-force.