Entrar Ainda não tem acesso?
1
resposta

Tentativa de não vazar que a conta existe gerou problema de segurança

Referente ao curso ASP.NET Identity parte 2: autenticação e segurança com lockout, no capítulo Função de Lockout e atividade Lockout

por Adriano dos Santos Fernandes
| 182.1k xp | 2 posts

A abordagem usada para não vazar que a conta já existe acabou gerando um problema maior: o invasor fica tentando senhas erradas e recebe uma mesma mensagem. Mas quando ele acertar a senha, mesmo com a conta bloqueada, ele vai saber que acertou! Aí é só esperar 5 minutos e se logar.

1 resposta
por Guilherme Matheus Costa
| 314.9k xp | 366 posts
Instrutor Desenvolvedor

Olá, Adriano.

Obrigado pela contribuição. Sua observação faz muito sentido.

Com nossa implementação, o invasor ainda não pode listar os email cadastrados em nosso sistema. Para conseguir isto, será necessário descobrir email e senha - um obstáculo consideravelmente complexo.

A prevenção contra a listagem de emails continua válida. Mas, existem abordagens mais seguras neste cenário:

  • Enviar um email ao usuário informando o lockout e somente através do email desfazer o lockout;
  • Guardar os IPs das máquinas que tentam consecutivos signins sem sucesso e bloquear;
  • Guardar os IPs das máquinas de nossos usuários e não permitir o login vindo de um IP desconhecido;
  • Habilitar autenticação de dois fatores (tema da parte 4);

Estas são algumas alternativas mais seguras, existem várias outras.

O desafio foi dar um feedback ao usuário genuíno que errou sua senha e durante o curso usamos esta abordagem para mostrar o uso do CheckPassword (as abordagens acima saem do escopo do curso).

Mas, como observado por você, existem abordagens mais seguras!