Enumeração de nomes de utilizador
O que é Enumeração de nomes de utilizador?
Enumeração de nomes de utilizadorForma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes.
A enumeração de nomes de utilizador é o caso da enumeração de contas em que o identificador testado é um username, e não um e-mail ou telefone. Páginas de login que distinguem 'utilizador desconhecido' de 'palavra-passe incorreta', recuperações que confirmam se um handle existe, APIs que devolvem 404 para utilizadores inexistentes e 401 para palavras-passe erradas, e formulários de registo que revelam handles ocupados expõem todos esse oráculo. Com uma lista confirmada de nomes válidos, os atacantes podem fazer password spraying lento e discreto, dirigir engenharia social ou correlacionar identidades entre serviços. Defesas incluem mensagens uniformes, respostas genéricas, rate limiting, CAPTCHA em caso de abuso e MFA.
● Exemplos
- 01
API de login a devolver HTTP 404 para utilizadores desconhecidos e HTTP 401 para utilizadores válidos com palavra-passe errada.
- 02
Formulário de recuperação que mostra 'verifique o seu e-mail' para handles válidos e 'utilizador não encontrado' caso contrário.
● Perguntas frequentes
O que é Enumeração de nomes de utilizador?
Forma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Enumeração de nomes de utilizador?
Forma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes.
Como se defender contra Enumeração de nomes de utilizador?
As defesas contra Enumeração de nomes de utilizador costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Enumeração de nomes de utilizador?
Nomes alternativos comuns: Enumeração de utilizadores, Enumeração de login.