Enumeração de nomes de utilizador
O que é Enumeração de nomes de utilizador?
Enumeração de nomes de utilizadorForma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes.
A enumeração de nomes de utilizador é o caso da enumeração de contas em que o identificador testado é um username, e não um e-mail ou telefone. Páginas de login que distinguem 'utilizador desconhecido' de 'palavra-passe incorreta', recuperações que confirmam se um handle existe, APIs que devolvem 404 para utilizadores inexistentes e 401 para palavras-passe erradas, e formulários de registo que revelam handles ocupados expõem todos esse oráculo. Com uma lista confirmada de nomes válidos, os atacantes podem fazer password spraying lento e discreto, dirigir engenharia social ou correlacionar identidades entre serviços. Defesas incluem mensagens uniformes, respostas genéricas, rate limiting, CAPTCHA em caso de abuso e MFA.
● Exemplos
- 01
API de login a devolver HTTP 404 para utilizadores desconhecidos e HTTP 401 para utilizadores válidos com palavra-passe errada.
- 02
Formulário de recuperação que mostra 'verifique o seu e-mail' para handles válidos e 'utilizador não encontrado' caso contrário.
● Perguntas frequentes
O que é Enumeração de nomes de utilizador?
Forma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Enumeração de nomes de utilizador?
Forma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes.
Como funciona Enumeração de nomes de utilizador?
A enumeração de nomes de utilizador é o caso da enumeração de contas em que o identificador testado é um username, e não um e-mail ou telefone. Páginas de login que distinguem 'utilizador desconhecido' de 'palavra-passe incorreta', recuperações que confirmam se um handle existe, APIs que devolvem 404 para utilizadores inexistentes e 401 para palavras-passe erradas, e formulários de registo que revelam handles ocupados expõem todos esse oráculo. Com uma lista confirmada de nomes válidos, os atacantes podem fazer password spraying lento e discreto, dirigir engenharia social ou correlacionar identidades entre serviços. Defesas incluem mensagens uniformes, respostas genéricas, rate limiting, CAPTCHA em caso de abuso e MFA.
Como se defender contra Enumeração de nomes de utilizador?
As defesas contra Enumeração de nomes de utilizador costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Enumeração de nomes de utilizador?
Nomes alternativos comuns: Enumeração de utilizadores, Enumeração de login.
● Termos relacionados
- identity-access№ 008
Enumeração de contas
Ataque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo.
- attacks№ 800
Pulverização de palavras-passe
Ataque "low and slow" que testa um pequeno conjunto de palavras-passe comuns em muitas contas, mantendo-se abaixo dos limites de bloqueio e rate-limit.
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
- attacks№ 821
Phishing
Ataque de engenharia social no qual o atacante se faz passar por uma entidade de confiança para enganar a vítima e obter credenciais, transferir dinheiro ou executar malware.
- network-security№ 904
Rate Limiting
O rate limiting limita o numero de requisicoes que um identificador (IP, usuario, chave de API ou token) pode fazer em uma janela de tempo, protegendo APIs e aplicacoes contra abuso, scraping e brute-force.