Я разрабатываю базовый веб-сайт, доступ которого ограничен классической системой паролей &.Должен ли я дифференцировать неправильные коды ошибок и ошибок?
Я не могу решить, показывать ли мне другое сообщение, когда пользователь вводит несуществующий логин и когда он вводит неверный пароль для существующей учетной записи.
Моей первой интуицией было бы не показывать другое сообщение, потому что это дало бы намеки потенциальным злоумышленникам о том, что не так, но иногда это затрудняет понимание пользователем своих ошибок (возможно, он просто ошибся в своей учетной записи логин и соответствующее сообщение об ошибке будут лучше). С другой стороны, я часто слышал, что имя учетной записи не было секретом (как пароль obivously is), и поэтому предоставление информации об этом не должно опускать уровень безопасности.
У вас, ребята, есть хорошая практика/логическое обоснование, что я должен придерживаться этого?
Спасибо.
Кроме того, если есть "забыли пароль?" в поле, где вы вводите адрес электронной почты для сброса пароля (и будем надеяться, что он будет сброшен, а не будет возвращать оригинальный пароль назад), вы всегда говорите, что отправлено электронное письмо, даже если адрес электронной почты не зарегистрирован. Сообщая пользователю, что адрес электронной почты не зарегистрирован, вы можете продолжать пробовать разные адреса электронной почты, пока они не попадут в хит. – adrianbanks