Domingo, 2 de Mayo de 2021: Enumeración de usuarios

Hoy intenté agendar algo, y no pude acceder a mi cuenta. Y aprovechando que estábamos viendo la parte de autenticación; este ejemplo es perfecto para aprender algo que se llama «enumeración de usuarios».

Cuando se diseña una autenticación, es importante no dar información sobre los usuarios. Es decir, mostrar un mensaje genérico.

En esta aplicación, primero vemos este mensaje cuando queremos loguearnos:

«Correo electrónico o contraseña incorrectos», esto es un buen mensaje, quiere decir que no sabemos que falló, sólo sabemos que algo está mal y por eso no nos podemos autenticar. Sin embargo, si vamos a la opción de recuperar contraseña e ingresamos el correo electrónico:

En este momento la aplicación nos esta permitiendo saber si el usuario esta registrado o no; y esto es un error de seguridad que permite hacer una enumeración de usuarios.

Este error se ha dado varias veces, por ejemplo WordPress (el CMS que usa este blog) anteriormente lo tenía, pero lo ha corregido desde hace algún tiempo:

Parece un error muy trivial, pero dependiendo del escenario podría ser peligroso. Hace poco Lalo 2 encontró como enumerar usuarios con tarjetas de crédito, y eso suena muuuuuy mal.

0 comentarios en “Domingo, 2 de Mayo de 2021: Enumeración de usuariosAñade los tuyos →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *