Da die häufigsten Antworten bei Benutzername- und/oder Passwortfehlern beim Anmelden IMMER lauten: „Ihr Benutzername ODER Passwort sind falsch“, um die Sicherheit zu erhöhen, warum speichern Systeme dann nicht die Kombination aus Benutzername und Passwort als Hash? Nichts ärgert mich mehr, als nicht zu wissen, welche E-Mail-Adresse ich verwende, und andere ausprobieren zu müssen, insbesondere wenn es MAXIMALE Beschränkungen für die Passwortlänge usw. geben kann.
Antwort1
Aus demselben Grund halten wir auch unsere tatsächlichen Namen nicht geheim: Sie dienen unserer Identifizierung und sind bewusst teilbar.
Die Absicht besteht darin, die Informationen, die ein potenzieller Angreifer haben könnte, zu reduzieren, indem er nicht preisgibt, ob er mit einem bestehenden Benutzernamen arbeitet. Allerdings sind Systeme, die Nachrichten im Stil von „Benutzername oder Passwort ist falsch“ verwenden, normalerweise genauso anfällig wie Systeme ohne diese. Anmeldeformulare (und manchmal Formulare zum Zurücksetzen des Passworts) geben an, ob ein Konto existiert oder nicht. Daher ist es trivial, festzustellen, ob ein Benutzername existiert. Daher kann dieser Ansatz für legitime Benutzer eher frustrierend sein, als dass er Angreifer behindert.
Stellen Sie sich außerdem vor, Sie versuchen, einen Freund auf einer Plattform zu finden, dessen Benutzername im Klartext nicht gespeichert ist: Sie müssten den Benutzernamen Zeichen für Zeichen korrekt herausfinden. Ein solches System wäre schrecklich unpraktisch. Ein geheimer Benutzername wäre vergleichbar mit einem zweiten Passwort, und es gibt viel bessere Möglichkeiten, Konten zu sichern.