Y a-t-il une raison pour montrer le même message pour un nom d'utilisateur non valide comme mot de passe?
J'ai vu une question de sécurité/exigence qu'un login de site Web renvoie le même message d'erreur pour un mot de passe invalide que pour l'utilisateur inexistant. L'idée étant que cela empêche de découvrir des noms d'utilisateur valides en numérisant les messages d'erreur.
Dans les cas où l'auto-inscription est disponible, cela fait-il une différence? Vous ne pouvez pas autoriser l'inscription avec le même nom d'utilisateur deux fois, alors qu'un attaquant pourrait simplement tenter de s'inscrire avec des noms d'utilisateur jusqu'à ce qu'un nom d'utilisateur valide soit trouvé.
Merci
@Yoav l'a dit très bien.
Oui, il est important de protéger la confidentialité de vos clients et (probablement) votre liste de clients.
Je pense qu'une bonne atténuation est de combiner les réponses d'@adam et @Twobeers.
- Exiger une étape de vérification du courrier électronique chaque fois qu'un nom d'utilisateur/email est créé ou modifié. Ne révélez pas si le compte existe ou non.
- Taux Limiter les formulaires qui peuvent modifier le nom d'utilisateur/emails.
La combinaison de ces deux protège votre identité de vos clients et limite l'email.