将用户名作为登录信息保存在网站中是一个漏洞。

Question

许多建议不要在公共论坛上发布电子邮件地址，因为有些人可能会尝试使用一些暴力攻击等几次登录尝试，但我注意到在几个网站(即使在敏感网站处理金钱)，我可以发现它使用电子邮件-id/用户名的登录机制，他们实际上显示用户名公开，例如网站GitHub (https://github.com/login?return_to=%2Fpersonal)。

我的问题是，这些网站是否容易受到广泛的暴力攻击？就像使用网络爬虫来收集大量的用户名和暴力，强制使用一个流行的密码。

例如，"nopassword“是许多人常用的密码之一，而不是使用密码作为单词列表(常用方法)，攻击者可以使用从机器人获得的用户名作为单词列表，只有一个密码，比如"nopassword”。

这是一种窄谱攻击，但攻击者可以通过这种方法访问大量使用流行密码的帐户。这是网站的弱点吗？

Answer 1

“弱点”和弱点是有区别的。用户名并不是秘密的，所以一旦用户名被知道，那么它就会受到强暴的影响。这是一个弱点，与整个用户名/密码模式和每一个网站使用它采用这个弱点。

有一些方法可以缓解这个弱点，比如双因素认证(2FA)，但是模型的弱点仍然是固有的。

问题是，没有一个可行的替代方案对整个世界都有效。当然，您可以颁发客户端证书，但这并不容易管理。