Saltar a contenido

Index

Enumeración de nombres de usuario

Descripción

Las técnicas de enumeración son una forma muy rápida de identificar usuarios registrados. Con nombres de usuario válidos, se pueden intentar ataques de fuerza bruta efectivos para adivinar la contraseña de las cuentas de usuario.

Recomendación

Asegúrese de que ninguna página o API pueda utilizarse para diferenciar entre un nombre de usuario válido y uno no válido.

  • Inicio de sesión:

Asegúrese de devolver un mensaje genérico de "Nombre de usuario o contraseña incorrectos" cuando falle un inicio de sesión. Además, asegúrese de que la respuesta HTTP y el tiempo de respuesta no difieran cuando un nombre de usuario no existe y se introduce una contraseña incorrecta.

  • Restablecimiento de contraseña:

Asegúrese de que su página de "Contraseña olvidada" no revele nombres de usuario. Si su proceso de restablecimiento de contraseña implica enviar un correo electrónico, solicite al usuario que ingrese su dirección de correo electrónico. Luego, envíe un correo electrónico con un enlace de restablecimiento si la cuenta existe.

  • Registro:

Evite indicar que un nombre de usuario proporcionado ya está en uso. Si sus nombres de usuario son direcciones de correo electrónico, envíe un correo electrónico de restablecimiento de contraseña si un usuario intenta registrarse con una dirección existente. Si no son direcciones de correo electrónico, proteja su página de registro con un CAPTCHA.

  • Páginas de perfil:

Si sus usuarios tienen páginas de perfil, asegúrese de que solo sean visibles para otros usuarios que ya hayan iniciado sesión. Si oculta una página de perfil, asegúrese de que un perfil oculto sea indistinguible de un perfil inexistente.

Enlaces

Estándares

  • PCI_STANDARDS:
    • REQ_6_2
    • REQ_6_3
    • REQ_6_4
  • HIPAA_CONTROLS:
    • SECURITY221
    • SECURITY212
    • SECURITY213