La connexion est une traduction invalide. Comment installer BeEF sur Linux Mint ou Ubuntu. Résoudre l'ERREUR : problème de nom d'utilisateur ou de mot de passe invalide
Méthode de sécurité qui identifie un utilisateur spécifique et autorisé d'un système informatique, d'un réseau ou d'une ressource par une chaîne unique de caractères. En général, les mots de passe doivent être un mélange de lettres majuscules et minuscules et de chiffres et doivent... ... Dictionnaire des réseaux
Mot de passe- Pour d'autres utilisations, voir Mot de passe (homonymie). Un mot de passe est un mot secret ou une chaîne de caractères utilisé pour l'authentification, pour prouver son identité ou accéder à une ressource (exemple : un code d'accès est un type de mot de passe). Le mot de passe... ... Wikipédia
Nom de la société Infobox = U3 LLC. type d'entreprise = Slogan de l'entreprise privée = Votre univers numérique dans votre poche. fondation = 2004 emplacement = Redwood City, Californie industrie = Page d'accueil de l'ordinateur = U3 est un… … Wikipedia
EncFS- Nom du logiciel Infobox = Légende EncFS = développeur = Valient Gough dernière version = 1.4.2 dernière date de sortie = 13 avril 2008 dernière version d'aperçu = dernière date d'aperçu = système d'exploitation = Linux, plate-forme FreeBSD = genre = système de fichiers,… … Wikipedia
POP3- Ce terme a d'autres significations, voir Pop. Nom POP3 : Post Office Protocol 3 Layer (modèle OSI) : Famille d'applications : TCP/IP Port/ID : 110/TCP Objectif du protocole : Réception d'e-mails Spécification... Wikipédia
Messages d'erreur sécurisés dans les systèmes logiciels- En matière de sécurité informatique et de convivialité des systèmes logiciels, un problème important est la conception des messages d'erreur de manière à éviter les failles de sécurité. Cet aspect de la sécurité des logiciels n'a commencé que récemment à recevoir une attention accrue.… … Wikipédia
Liste des personnages de Mega Man- Ceci est une liste de personnages de la série Mega Man. Au Japon, la série Mega Man est connue sous le nom de Rockman. Contenu 1 Personnages principaux 1.1 Mega Man 1.2 Dr. Lumière... Wikipédia
Techniques anti-spam (e-mail)- Pour éviter le spam par courrier électronique, les utilisateurs finaux et les administrateurs des systèmes de messagerie utilisent diverses techniques anti-spam. Certaines de ces techniques ont été intégrées dans des produits, services et logiciels pour alléger la charge des utilisateurs et des administrateurs. Personne... ... Wikipédia
Techniques anti-spam- Pour éviter le spam par courrier électronique (c'est-à-dire le courrier électronique en masse non sollicité), les utilisateurs finaux et les administrateurs des systèmes de messagerie utilisent diverses techniques anti-spam. Certaines de ces techniques ont été intégrées dans des produits, services et logiciels pour alléger le fardeau des utilisateurs... ... Wikipedia
Élément HTML- Cet article concerne les éléments HTML en général. Pour plus d'informations sur la façon de formater les entrées Wikipédia, consultez Aide : balisage Wiki et Aide : HTML dans le texte wiki HTML HTML et HTML5 HTML dynamique XHTML Profil mobile XHTML et élément C HTML Canvas Caractère… Wikipédia
Authentification d’accès Digest- Persistance HTTP · Compression · Méthodes de requête HTTPS OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Champs d'en-tête Cookie · ETag · Localisation · Referer DNT · … Wikipedia
Les tentatives de connexion échouent car les utilisateurs d'ordinateurs ne se souviennent pas de leur adresse e-mail ou n'ont pas saisi le bon mot de passe. La plupart des sites Web sur Internet ne vous diront pas lequel est réellement incorrect.
Actualités des pirates :
Si vous dites à un attaquant que l'adresse e-mail est erronée, il en essaiera une autre. Si vous lui dites que le mot de passe est erroné, alors un attaquant sait que le nom d'utilisateur est correct et peut essayer plusieurs mots de passe pour cela. nom d'utilisateur jusqu'à ce qu'ils trouvent le bon. Ainsi, les sites ne vous diront pas lequel est faux, pour essayer d'éviter la divulgation d'informations.
Malheureusement cela suppose qu'il n'y a aucun autre moyen pour un attaquant de découvrir si un nom d'utilisateur/une adresse e-mail est enregistré pour un service. Cette hypothèse est incorrecte.
99,9 % des sites Web sur Internet ne vous permettent de créer qu'un seul compte pour chaque adresse e-mail. Donc si vous voulez voir si une adresse email possède un compte, essayez de créer un nouveau compte avec la même adresse e-mail.
Voici tous les sites Web ci-dessus, confirmant qu'un compte existe avec mon adresse e-mail/nom d'utilisateur :
Actualités des pirates :
Ainsi, ce que nous avons fait en promouvant "Nom d'utilisateur ou mot de passe invalide" a rendu notre formulaire de connexion UX bien pire, sans augmenter la sécurité de notre produit.
Si les gens ne se connectent pas à votre site tous les jours (tous les sites du Web à l'exception de Facebook ou Google), le fait de ne pas se souvenir des informations d'identification constitue un énorme obstacle à l'accès à votre site. Ne compliquez pas la tâche en ajoutant un message d'erreur vague qui ne le fait pas. "n'augmente pas du tout la sécurité de votre site.
Mais il y a un compromis entre sécurité et UX, je t'entends dire. J'essaie de vous montrer qu'il n'y a pas de compromis, comme présenté ci-dessus ; vous choisissez entre un meilleur expérience utilisateur et une pire expérience utilisateur.
Que dois-je faire à la place ?
Voici un véritable compromis UX/sécurité : vous peut basez le processus d'inscription sur le courrier électronique. Lorsqu'une personne tente de s'inscrire avec une adresse e-mail, vous lui envoyez un e-mail pour terminer le processus d'inscription. S'ils ne contrôlent pas la boîte de réception des e-mails, ils ne peuvent pas voir si l'adresse e-mail possède déjà un compte. C'est beaucoup plus ardu et nécessite deux changements de contexte (accéder à votre courrier électronique, éviter toute distraction, attendre l'arrivée du courrier électronique, cliquer sur le lien dans le courrier électronique, rappeler ce que vous faisiez sur place). Je ne le recommande pas, à cause des changements de contexte, même si vous peut mettre en œuvre.
Dans le cas contraire, j'accepte que votre page de connexion et vos pages d'inscription soient la cible de comportements malveillants et soient conçues de manière appropriée.
La limitation des taux peut contribuer dans une large mesure à prévenir force brute attaques. Pour trouver des adresses e-mail, un attaquant devra essayer de nombreuses adresses e-mail et/ou de nombreux mots de passe, et se tromper sur un grand nombre d’entre eux. Envisagez de limiter les tentatives de connexion non valides par adresse IP ou sous-réseau. Vérifiez les mots de passe soumis par rapport à un dictionnaire de mots de passe courants (123456, singe, etc.) et interdisez ce trafic très durement. L'attente exponentielle (obliger les attaquants à réessayer après 1, 2, 4, 8, 16... secondes) est utile.
Donnez des conseils aux utilisateurs sur la création de mots de passe forts. Permettez une intégration facile avec LastPass ou 1Password.
Ajoutez une option d'authentification à 2 facteurs à votre site Web. Encouragez les utilisateurs à l’utiliser.
Avertissez les utilisateurs d'un comportement malveillant (« quelqu'un essaie d'espionner votre mot de passe ») et contactez-les en cas de connexion suspecte.
Oui, doublez-le si vous disposez d'un moyen de soumission sans formulaire pour vérifier l'existence de l'utilisateur, par ex. /user/:user/ comme itinéraire.
Merci d'avoir corrigé cette désinformation dans mon esprit.
Hé, après un examen de sécurité indépendant, nous sommes obligés d'aller encore plus loin ;
Nous bloquons les utilisateurs pendant cinq minutes après trois tentatives de connexion invalides. Nous ne sommes plus autorisés à informer les utilisateurs qu'ils ont été bloqués. Ainsi, même s'ils se souviennent de leur mot de passe (ou même effectuent une réinitialisation), nous devons simplement leur dire que leur uid/pwd est erroné lorsqu'ils essaient de se connecter. Et pour « mot de passe oublié » ? Dites simplement à l'utilisateur « nous vous avons envoyé un e-mail – SI nous avons reconnu l'e-mail que vous avez entré ».
Quant à la limitation des taux ; Bien le faire peut représenter beaucoup de travail. J'ai simplement mis un délai artificiel d'une seconde dans toute réponse où l'uid ou le mot de passe était erroné. Suffisamment court pour ne pas gêner les vrais utilisateurs, suffisamment long pour empêcher efficacement les attaques par force brute. Et même si quelqu’un essayait la force brute, la surveillance le détecterait bien avant qu’il n’essaye un nombre significatif de combinaisons.
J'avais récemment cette discussion avec un collègue et aucun de nous n'a pensé au fait que le processus d'inscription saigne ces informations de toute façon !
Je ne suis pas d'accord avec l'ajout de l'authentification à deux facteurs comme recommandation générale en dehors des données très sensibles. (D’un autre côté, il est épouvantable qu’aucune des banques ou institutions financières avec lesquelles j’ai travaillé n’autorise même l’authentification à deux facteurs.)
J'ai mis en œuvre cela comme vous le suggérez en envoyant l'e-mail dans un sens ou dans l'autre et en ne divulguant pas l'existence du compte. Pour moi, c'était une question de confidentialité, car il s'agissait d'un site d'offres d'emploi, et nous voulions être sensibles à la vie privée des demandeurs d'emploi.
En plus des préoccupations concernant l'exposition d'adresses e-mail sensibles pour les inscriptions à des services qui pourraient avoir des répercussions plus importantes (hé, je viens de m'inscrire sur un site Web subversif !), l'autre chose est que vous ne devriez pas autoriser les gens à créer un compte sans confirmant ce compte – je ne devrais pas pouvoir vous inscrire chaque semaine aux fascistes sans confirmation que je suis réellement posséder le vôtre adresse email.
Les e-mails sont publics individuellement, mais la corrélation entre les e-mails et les comptes sur certains sites Web peut constituer une information sensible. Par exemple, certaines personnes seraient très intéressées par les adresses email associées aux marchés clandestins.
Ne divulguez donc pas d'adresses e-mail à moins que vous ne soyez prêt à faire un choix pour vos utilisateurs sur les compromis de sécurité des utilisateurs connus de votre service à plus grande échelle, et attendez-vous à ce que vos utilisateurs qui ont partagé des mots de passe entre sites s'en sortent bien. leurs comptes étant trivialement compromissifs sur une courte période. (AKA, chaque fois que quelqu'un déchiffre/découvre un mot de passe, attendez-vous à ce qu'il essaie ce mot de passe partout où le nom d'utilisateur est confirmé). Si vous stockez des informations sensibles ou des informations susceptibles d’être utilisées pour compromettre d’autres comptes, il est préférable de ne pas associer ces noms d’utilisateur à votre service. Découvrez le flux de compromissions de service de Mat Honen pour conduire à la propriété de son compte Twitter.
L’objectif n’est pas de ne pas être propriétaire, mais d’augmenter le coût de l’attaque, et s’assurer que les attaquants ne peuvent pas identifier vos utilisateurs augmente ce coût.
Les Honeypots sont également très utiles pour détecter les comportements malveillants et ont très peu de répercussions sur les utilisateurs réels.
Notez que si vous optez pour la limitation du débit, veillez à ne pas l'implémenter de telle manière qu'une personne malveillante puisse facilement verrouiller l'accès du propriétaire légitime du compte en envoyant des tentatives de connexion spammées.
Cela n'est pas inutile si vous disposez d'une limitation de débit et d'une surveillance de sécurité différentes pour la connexion et l'enregistrement des nouveaux utilisateurs.
La banque dans laquelle je travaille en est un excellent exemple. La création d'un compte est un processus lourd avec plusieurs contrôles, et nous ne voulons PAS divulguer d'informations sur les comptes existants à toute personne capable de tenter de se connecter.
Mec, merci d'avoir posté ceci et d'avoir « corrigé cette désinformation dans l'esprit ».
Je ris de voir à quel point ce raisonnement est largement répandu parmi les développeurs qui pensent savoir ce qu'ils font (comme moi, après avoir fait valoir cet argument aux clients et aux personnes UX) et pourtant, ils n'ont jamais réfléchi à deux fois à la page d'inscription !
Les idées reçues brisées… Bel article !
Excellent article – je suis entièrement d’accord. Question : des conseils pour « permettre une intégration facile avec LastPass ou 1Password » ?
Cette page d'aide Wikipédia est obsolète. Veuillez mettre à jour cette page d'aide Wikipédia pour refléter les événements récents ou les informations nouvellement disponibles. Veuillez consulter la page de discussion pour plus d'informations. L'utilisateur peut personnaliser les polices, les couleurs, les positions des liens dans le... ... Wikipédia
Authentification d’accès Digest- Persistance HTTP · Compression · Méthodes de requête HTTPS OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Champs d'en-tête Cookie · ETag · Localisation · Referer DNT · … Wikipedia
Injection de code- est l'exploitation d'un bug informatique provoqué par le traitement de données invalides. L'injection de code peut être utilisée par un attaquant pour introduire (ou injecter) du code dans un programme informatique afin de modifier le cours de son exécution. Les résultats d’une injection de code… … Wikipédia
Identifiant Windows Live- Un exemple de page de connexion Windows Live ID Type d'authentification unique… Wikipédia
Techniques anti-spam- Pour éviter le spam par courrier électronique (c'est-à-dire le courrier électronique en masse non sollicité), les utilisateurs finaux et les administrateurs des systèmes de messagerie utilisent diverses techniques anti-spam. Certaines de ces techniques ont été intégrées dans des produits, services et logiciels pour alléger le fardeau des utilisateurs... ... Wikipedia
Techniques anti-spam (e-mail)- Pour éviter le spam par courrier électronique, les utilisateurs finaux et les administrateurs des systèmes de messagerie utilisent diverses techniques anti-spam. Certaines de ces techniques ont été intégrées dans des produits, services et logiciels pour alléger la charge des utilisateurs et des administrateurs. Personne... ... Wikipédia
CHAUSSETTES- est un protocole Internet qui permet aux applications client-serveur d'utiliser de manière transparente les services d'un pare-feu réseau. SOCKS est l'abréviation de SOCKetS [ ]… … Wikipédia
Adresse email- Une adresse e-mail identifie un emplacement auquel les messages e-mail peuvent être envoyés. Sur l'Internet moderne, une adresse e-mail ressemble, par exemple, à : [email protégé] et est généralement lu comme jsmith dans l'exemple point com . De nombreux systèmes de messagerie antérieurs… Wikipédia
Privilège (informatique)- En informatique, le privilège est défini comme la délégation d'autorité sur un système informatique. Un privilège est une autorisation d'effectuer une action. Des exemples de divers privilèges incluent la possibilité de créer un fichier dans un répertoire, ou de lire ou supprimer un… Wikipédia
Mot de passe- Pour d'autres utilisations, voir Mot de passe (homonymie). Un mot de passe est un mot secret ou une chaîne de caractères utilisé pour l'authentification, pour prouver son identité ou accéder à une ressource (exemple : un code d'accès est un type de mot de passe). Le mot de passe... ... Wikipédia
à propos du schéma d'URI- à propos de : des redirections vierges ici. Pour la variante du logiciel espion aboutblank , voir CoolWebSearch#Variants. À propos : redirige ici. Pour d'autres utilisations, voir à propos de ; pour la page à propos de Wikipédia, voir Wikipédia : à propos. about est un schéma d'URI interne (également connu sous le nom d'URL... Wikipédia