由於由於安全性的提高,登入時使用者名稱和/或密碼失敗的常見回應總是會傳回“您的使用者名稱或密碼不正確”,那麼為什麼系統不儲存雜湊的使用者名稱和密碼組合。沒有什麼比不知道我正在使用哪個電子郵件並且必須嘗試其他電子郵件更讓我感到不安的了,尤其是當密碼長度等有最大限制時。
答案1
出於同樣的原因,我們不會對我們的真實姓名保密:它們用於識別我們的身份,並且可以透過設計共享。
目的是透過不透露潛在攻擊者是否正在使用現有用戶名進行操作來減少潛在攻擊者可能擁有的資訊。也就是說,使用「使用者名稱或密碼不正確」樣式訊息的系統通常仍然與沒有這些訊息的系統一樣容易受到攻擊。註冊表單(有時還有密碼重設表單)會告訴您帳戶是否存在,因此識別使用者名稱是否存在很簡單。因此,這種方法對合法用戶來說可能比對攻擊者更令人沮喪。
另外,想像一下,如果沒有儲存純文字使用者名,則嘗試在平台上尋找朋友:您必須逐個字元地取得正確的使用者名稱。這樣的系統是非常不切實際的。擁有秘密用戶名類似於擁有第二個密碼,並且有比這更好的方法來保護帳戶。