Index
Énumération des noms d'utilisateur
Description
Les techniques d'énumération constituent un moyen très rapide d'identifier les utilisateurs enregistrés. Avec des noms d'utilisateur valides, des attaques par force brute efficaces peuvent être tentées pour deviner le mot de passe des comptes utilisateurs.
Recommandation
Assurez-vous qu'aucune page ou API ne puisse être utilisée pour différencier un nom d'utilisateur valide d'un nom invalide.
- Connexion :
Assurez-vous de renvoyer un message générique tel que « Nom d'utilisateur ou mot de passe incorrect » lors de l'échec d'une connexion. De plus, veillez à ce que la réponse HTTP et le temps de réponse soient identiques lorsqu'un nom d'utilisateur n'existe pas et qu'un mot de passe incorrect est saisi.
- Réinitialisation du mot de passe :
Assurez-vous que votre page « Mot de passe oublié » ne révèle pas les noms d'utilisateur. Si votre processus de réinitialisation de mot de passe implique l'envoi d'un e-mail, demandez à l'utilisateur de saisir son adresse e-mail. Ensuite, envoyez un e-mail contenant un lien de réinitialisation si le compte existe.
- Inscription :
Évitez d'indiquer qu'un nom d'utilisateur fourni est déjà pris. Si vos noms d'utilisateur sont des adresses e-mail, envoyez un e-mail de réinitialisation de mot de passe si un utilisateur tente de s'inscrire avec une adresse existante. Si ce ne sont pas des adresses e-mail, protégez votre page d'inscription avec un CAPTCHA.
- Pages de profil :
Si vos utilisateurs disposent de pages de profil, assurez-vous qu'elles ne soient visibles que par les autres utilisateurs déjà connectés. Si vous masquez une page de profil, veillez à ce qu'un profil masqué soit indiscernable d'un profil inexistant.
Liens
Normes
- PCI_STANDARDS:
- REQ_6_2
- REQ_6_3
- REQ_6_4
- HIPAA_CONTROLS:
- SECURITY221
- SECURITY212
- SECURITY213