防止注册页上的用户枚举

Question

您有一个用户登录的网站，并且希望阻止用户枚举。

在登录页面和被遗忘的密码页面上，这可以通过仔细选择用户消息来实现，但是新的用户注册页面呢？您希望确保为现有用户创建帐户是不可能的，但这会告诉攻击者该帐户已经存在，允许枚举。

可以使用什么机制来防止新用户注册时的用户枚举？

Answer 1

由于用户名是公共部分，如果可以枚举它，它并不是世界末日，但是如果你真的想避免这一点，最简单的事情是让他们使用电子邮件地址作为用户名。然后，你简单地说，你发送了一个链接到电子邮件，无论他们是否已经有一个帐户。

Answer 2

一种选择是使用captcha。用户名可以在提交后进行验证，如果用户名已经被使用，则会更新captcha。这至少应该减缓这一进程。

我认为还有其他选项，但它们是复杂的(例如，在提交复制用户后有指数时间返回页面)或可能使应用程序不可用(在X次尝试之后阻止用户)。

如果你用电子邮件作为用户名，那么第二个选项也没那么糟糕。

Answer 3

用户枚举并不是那么邪恶。用户名是公开的，密码是秘密的。例如，在这个页面上，我们都可以知道stackexchange上存在用户James_pic。搜索或编写简单的爬虫可以很容易地为攻击者提供大量的用户名，帮助缩小攻击范围，但其他安全措施仍然使得攻击者的任务非常困难。

想法是要有安全政策(至少是不成文的，记住)，把公开的和秘密的事情分开，集中精力保护那些必须是秘密的东西。如果您想使用用户名作为“秘密的第二部分”，这可能是错误的，最好需要两倍长的密码，或者两个因素的身份验证，因为将用户名保密要困难得多。

如果出于某种原因，你也需要保密用户名(例如，你不想让任何人知道注册了多少用户)，那么最好自己指定用户名(例如userNNNNN，或用户-<10随机letters>)，或者使用带电子邮件或电话号码的学徒作为用户名。