在登录页面中添加“电子邮件或用户名”，安全吗？

Question

让我们假设一个网站有一个带有"Email或Username“的登录页面，并向该站点上的每个用户公开显示用户名。

这会让攻击者很容易黑进别人的账户吗？

Answer 1

电子邮件和用户名通常都被认为是公开的信息，所以它不应该有太大的区别。如果不公开这些信息，黑客可能会因为谷歌搜索的长度而放慢脚步。

如果您要公开它，也许只需在最小密码长度上添加一个额外的数字来弥补。

Answer 2

通过公开显示用户名，在攻击者发起攻击之前，您将给他们提供另一块谜题。

例如，

：

假设你可以强行使用Facebook，如果Facebook显示了部分用户的登录信息，想要预编暴力部队的攻击者只需导航到他们的受害者页面，获取登录信息并开始攻击。

但是如果他们必须找到登录信息，那么攻击就会更加困难。他们将不得不预先形成一些社会工程/OSint，以找到登录信息，有时可能没有任何结果(请注意，Facebook有时提供帐户用户名时访问配置文件，但他们确实防止蛮力攻击)。

应该做什么？

• 如果您对此无能为力，并且需要显示用户名(也是帐户登录名)，那么您可以拥有最大的安全性，以防止对用户的任何攻击(包括在“忘记密码”部分)。
• 您应该允许用户隐藏用户名并使用显示名称(例如，我的显示名是Bubble Hacker，但我的用户名不一样)

Answer 3

首先，也许用户不想让公众知道他在使用这个网站。因此，在未经批准的情况下显示这些信息可能不是个好主意。

要回答你的问题，在正常情况下，攻击应该知道电子邮件之前，试图进行暴力攻击。如果您泄露所有的电子邮件地址，这将简化攻击者的工作。

然而，一些攻击者并不是想黑你的网站，而是通过另一种方式(侵入电子邮件)获得证书。然后他们都会有电子邮件地址和密码，所以这并不重要。

但不管怎样，它允许黑客创建一个用户使用的服务/应用程序索引，这是对隐私的侵犯。所以，除非你有用户的批准和一个很好的理由，我不会张贴所有的电子邮件地址或用户名。

我觉得这是个直截了当的问题。