Перебор имён пользователей
Что такое Перебор имён пользователей?
Перебор имён пользователейЧастная форма перебора аккаунтов, при которой ответы приложения подтверждают существование конкретного имени пользователя, помогая нацелить дальнейшие атаки.
Перебор имён пользователей — это случай перебора аккаунтов, когда тестируется не e-mail и не телефон, а имя пользователя. Формы входа, отличающие «пользователь не найден» от «неверный пароль», сброс пароля, подтверждающий существование хэндла, API, возвращающие 404 для отсутствующих пользователей и 401 для неверного пароля, а также регистрация, сообщающая о занятых хэндлах, все они служат таким оракулом. Получив подтверждённый список валидных имён, атакующие проводят медленный password spraying, точечную социальную инженерию или связывают аккаунты в разных сервисах. Среди защит — единообразные сообщения об ошибках, общие тексты сброса пароля, rate limiting, CAPTCHA при злоупотреблении и MFA.
● Примеры
- 01
API входа возвращает HTTP 404 для неизвестных пользователей и HTTP 401 для валидных пользователей с неверным паролем.
- 02
Форма сброса пароля показывает «проверьте почту» для валидных хэндлов и «пользователь не найден» для остальных.
● Частые вопросы
Что такое Перебор имён пользователей?
Частная форма перебора аккаунтов, при которой ответы приложения подтверждают существование конкретного имени пользователя, помогая нацелить дальнейшие атаки. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Перебор имён пользователей?
Частная форма перебора аккаунтов, при которой ответы приложения подтверждают существование конкретного имени пользователя, помогая нацелить дальнейшие атаки.
Как работает Перебор имён пользователей?
Перебор имён пользователей — это случай перебора аккаунтов, когда тестируется не e-mail и не телефон, а имя пользователя. Формы входа, отличающие «пользователь не найден» от «неверный пароль», сброс пароля, подтверждающий существование хэндла, API, возвращающие 404 для отсутствующих пользователей и 401 для неверного пароля, а также регистрация, сообщающая о занятых хэндлах, все они служат таким оракулом. Получив подтверждённый список валидных имён, атакующие проводят медленный password spraying, точечную социальную инженерию или связывают аккаунты в разных сервисах. Среди защит — единообразные сообщения об ошибках, общие тексты сброса пароля, rate limiting, CAPTCHA при злоупотреблении и MFA.
Как защититься от Перебор имён пользователей?
Защита от Перебор имён пользователей обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Перебор имён пользователей?
Распространённые альтернативные названия: Перебор пользователей, Перебор логинов.
● Связанные термины
- identity-access№ 008
Перебор аккаунтов
Атака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе.
- attacks№ 800
Распыление паролей
«Низкая и медленная» атака, в которой небольшой набор популярных паролей пробуется против большого числа учётных записей, не пересекая порогов блокировки и rate-limit.
- attacks№ 232
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
- attacks№ 821
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- network-security№ 904
Ограничение частоты запросов
Rate limiting ограничивает количество запросов, которые идентификатор (IP, пользователь, API-ключ или токен) может выполнить за интервал времени, защищая API и приложения от злоупотреблений, скрейпинга и подбора паролей.