web-dev-qa-db-fra.com

La correction des noms d'utilisateur mal orthographiés crée-t-elle un risque pour la sécurité?

La correction d'un nom d'utilisateur mal orthographié et l'invite de l'utilisateur avec un nom d'utilisateur valide présentent-elles un risque pour la sécurité?

J'ai récemment essayé de me connecter à Facebook et j'ai mal orthographié mon e-mail. Ils m'ont invité avec le message ci-dessous.

Connectez-vous en tant que {username}

{email}@gmail.com · Pas vous?

Veuillez confirmer le mot de passe Il semble que vous ayez entré une légère faute d'orthographe dans votre adresse e-mail ou votre nom d'utilisateur. Nous l'avons corrigé pour vous, mais nous vous demandons de ressaisir votre mot de passe pour plus de sécurité.

Je sais que les noms d'utilisateur ne sont pas vraiment un secret, mais quand un site Web corrige une faute d'orthographe à un bon, ils semblent prendre le 'pas un secret' un peu trop loin.

77
GER

Comme vous l'avez dit, vous l'avez vu sur Facebook - j'ai donc essayé ces étapes:

  • Connectez-vous avec [email protected] et vrai mot de passe -> travaux
  • Connectez-vous avec [email protected] et un vrai mot de passe -> fonctionne aussi (!)
  • Connectez-vous avec [email protected] et vrai mot de passe -> fonctionne également
  • Connectez-vous avec [email protected] et vrai mot de passe -> fonctionne également
  • Connectez-vous avec [email protected] et mot de passe incorrect -> Mot de passe incorrect, mais l'e-mail a été automatiquement corrigé dans le bon e-mail
  • Connectez-vous avec [email protected] dans un onglet privé (ou un navigateur avec cache et cookies effacés) -> "L'e-mail que vous avez entré ne correspond à aucun compte"

Comme la correction ne semble fonctionner que lorsque je me suis déjà connecté avec succès à FB sur ce PC, je dirais que c'est pas une vulnérabilité dans Facebook.


Edit: Ajout de nouveaux cas de test; remercie Zymus, simbabque et Micheal Johnson pour les suggestions

178
Lukas

Autoriser l'itération du nom d'utilisateur ou de l'e-mail peut être un problème de sécurité pour la plupart des sites, mais pas pour Facebook. Pour les sites aussi grands que Facebook, il est facile de trouver des e-mails qui ont des comptes, car les sites ont beaucoup d'utilisateurs. Cela vaut pour d'autres énormes bases de données d'utilisateurs comme Google et Microsoft. Ces entreprises doivent simplement être sécurisées face à la divulgation (en quelque sorte) publique de leurs bases de données de nom d'utilisateur/e-mail.

Cela dit, je serais surpris si c'était la première fois que vous utilisiez Facebook avec le même navigateur, ordinateur ou même adresse IP. Cela n'a tout simplement pas de sens pour eux de compléter les noms d'utilisateur, car toute chaîne de type e-mail est probablement proche d'un ou plusieurs de leurs utilisateurs. Je soupçonne que Facebook avait un moyen de savoir que vous étiez vous.

16
Neil Smithline

Sur la base des détails que vous avez fournis ici, je dirais "Oui, c'est un risque pour la sécurité" car il identifie à 100% qui est inscrit sur le site. Je ne sais pas combien de fois une demande peut être soumise avant qu'un bloc ne soit placé (CAPTCHA, IP-block, etc.) mais un attaquant pourrait simplement "forcer" un ensemble de noms d'utilisateurs et de courriels pour obtenir une liste assez claire de qui utilise le site.

En l'état, le système ne vous dit pas ce que vous avez entré de manière incorrecte, mais un script pourrait le dire assez rapidement en comparant juste l'avant avec l'après.

Pire encore, avec une liste de noms d'utilisateurs et de courriels, ceux-ci parce que les listes cibles pour d'autres sites parce que (je suppose) les gens ont tendance à réutiliser les noms d'utilisateur (comme avec les adresses électroniques).

Semble à mon humble avis assez discutable.

Surpris ... penserait que FB aurait plus de sens que ça.

1
jms