作者y995526 (kn)
看板CSSE
標題[問題]很基本的資安問題
時間Wed Nov 21 21:16:54 2018
各位大大安安,今天寫到一題關於登入介面如何設計比較安全的題目:
The following are three possible logon scenarios. Explain why option (c)
below is preferable in term of system security.
a.
Welcome to XYZ computing
Enter username: jones
Invalid username
Enter username:
b.
Welcome to XYZ computing
Enter username: smith
Enter password: password
Invalid access
Enter username:
c.
Enter username: smith
Enter password: password
Invalid access
Enter username: smith
Enter password: FpQr56
Welcome to XYZ computing
a的問題比較明顯,我已經知道了。
我不太懂的是b和c的差別,
那句"Welcome to XYZ computing"的出現時機會對安全有什麼影響呢?
感謝各位大大!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.114.222.71
※ 文章網址: https://www.ptt.cc/bbs/CSSE/M.1542806216.A.916.html
→ CindyLinz: 讓還無法登入的人得知越少主機的資訊越好.. 11/23 02:53
推 wang19980531: a. 不該給予單項錯誤訊息,帳密paired更難攻破 b. 02/28 13:24
→ wang19980531: 攻擊者可能真的已知的主機目標資料庫進行攻擊 02/28 13:24
推 whisper4628: 有些公司會把XYZ替換成IP或主機名稱,還沒登入就先得 11/19 17:33
→ whisper4628: 知這些訊息,會造成資安疑慮 11/19 17:33